Je recommanderais la résiliation de SSL au niveau de l'équilibreur de charge (que ce soit sur votre réseau, ou chez un fournisseur CDN ou autre). Cela signifie que le LB peut inspecter le trafic et peut faire un meilleur travail d'équilibrage de charge. Cela signifie également que votre équilibreur de charge est responsable de la gestion des clients lents, des implémentations SSL défectueuses et de la fragilité générale de l'Internet. Il est probable que votre équilibreur de charge dispose de meilleures ressources pour ce faire que vos serveurs principaux. Cela signifie également que les certificats SSL que le monde voit sont tous sur l'équilibreur de charge (ce qui, espérons-le, les rend plus faciles à gérer).
L'alternative ici est simplement d'équilibrer la charge des connexions TCP des clients vers votre dos serveurs d'extrémité. Comme le LB ne peut pas inspecter ce qui se passe de cette manière, il ne peut pas répartir la charge uniformément sur les serveurs principaux, et les serveurs principaux doivent faire face à toute la fragilité d'Internet. Je n'utiliserais cette méthode que si vous ne faites pas confiance à votre équilibreur de charge, fournisseur de CDN ou autre.
Que vous rechiffriez ou non de l'équilibreur de charge vers vos serveurs principaux est une question personnelle choix et circonstance. Si vous traitez avec des cartes de crédit ou des transactions financières, vous êtes probablement réglementé par le (s) gouvernement (s) et devrez donc rechiffrer. Vous devriez probablement également rechiffrer si le trafic entre l'équilibreur de charge et les serveurs principaux circule sur des réseaux non approuvés. Si vous hébergez uniquement le site Web de votre entreprise, vous pourrez peut-être éviter la surcharge supplémentaire du rechiffrement, si vous ne vous souciez pas vraiment des aspects de sécurité de celui-ci.
Le rechiffrement ne fonctionne pas. N'ajoutez pas autant de charge que vous pourriez penser. Habituellement, l'équilibreur de charge sera en mesure de maintenir des connexions persistantes avec les serveurs, de sorte que le coût SSL sera assez faible pour ce «saut» sur le réseau.
La dernière chose à laquelle il faut penser est l'application sur les serveurs principaux. Si tout le trafic qui y arrive est HTTP, il ne peut pas prendre de décisions en fonction du protocole utilisé par le client. Il ne peut alors pas dire "vous essayez d'accéder à la page de connexion via HTTP, je vous redirige donc vers la version HTTPS de la page", par exemple. Vous pouvez demander à l'équilibreur de charge d'ajouter un en-tête HTTP pour dire "cela vient de HTTPS", mais cet en-tête nécessiterait un traitement spécial dans l'application. En fonction de votre situation, il peut être plus facile de rechiffrer et de laisser l'application fonctionner de manière "par défaut" plutôt que de nécessiter une modification spécifique au site.
En résumé, je dirais: terminer au niveau de l'équilibreur de charge et rechiffrez vos serveurs principaux. Si vous faites cela et remarquez un problème, vous pouvez faire des ajustements si nécessaire.