*我想问一下在服务器上安装了易受攻击的 OpenSSL 版本,但该服务器不提供 SSL 服务的两种情况。
场景 1:我在负载均衡器上安装了一个 SSL 证书,负载均衡器后面是一个 IIS 服务器群。IIS 不受 Heartbleed 的影响,并且端口 443 在那里关闭。但是我们发现负载均衡器很脆弱。Heartbleed 的哪些方面会影响我们?
场景 2:在此场景中,负载均衡器不易受到攻击。同样,负载平衡器安装了证书。但是,在它后面是一个运行 PHP 的服务器群,安装并启用了一个易受攻击的 OpenSSL 版本——可能是因为另一个扩展需要它,或者有人不假思索地启用了它。这些服务器上的端口 443 也已关闭。Heartbleed 的哪些方面会影响我们?
根据我的理解,在场景 1 中,我们通过线路进出服务器的密钥和数据有被拦截的风险。但是,IIS 应用程序服务器内存的内容不会有暴露的风险。
同样,根据我的理解,这可能是错误的,在场景 2 中,没有风险。
有人可以验证或更正我的假设吗?