TLS offloading vs passthrough vs bridging: hvor sker decryption?

Når en load balancer eller reverse proxy sidder foran dine backends, er det afgørende spørgsmål: hvor bliver TLS dekrypteret? Svaret — offloading, passthrough eller bridging — afgør hvor certifikaterne skal ligge, hvor du kan inspicere trafikken, og hvor data er ukrypteret. Her er forskellen, og hvornår du vælger hvad.

Kort svar

Offloading (TLS-terminering) dekrypterer på load balanceren og sender klartekst til backend. Passthrough lader krypteret trafik gå urørt videre, så backend selv terminerer TLS. Bridging (re-encryption) dekrypterer på load balanceren og krypterer igen ud mod backend — så du både kan inspicere trafikken og holde den krypteret hele vejen.

Sammenligning

	Offloading	Passthrough	Bridging
Hvor dekrypteres?	På load balanceren	På backend	Begge steder
LB → backend	Klartekst	Krypteret	Krypteret (ny session)
Certifikat på	LB	Backend	LB + backend
L7-inspektion/WAF	Ja	Nej	Ja
Ende-til-ende krypteret	Nej	Ja	Ja

Offloading (TLS-terminering)

Load balanceren dekrypterer trafikken og videresender den som HTTP til backend. Fordele: ét sted at administrere certifikater, mulighed for L7-routing og WAF, og backends slipper for krypto-arbejdet. Ulempe: trafikken mellem LB og backend er ukrypteret — kun acceptabelt på et betroet, isoleret netværk. Det er den klassiske opsætning bag en reverse proxy som nginx eller HAProxy.

Passthrough (TCP/SNI-baseret)

Load balanceren rører ikke TLS — den videresender den krypterede TCP-stream, typisk ruteret efter SNI. Backend ejer certifikatet og terminerer selv. Fordele: ægte ende-til-ende-kryptering og ingen privat nøgle på load balanceren. Ulempe: ingen L7-inspektion, ingen WAF, og certifikat-håndtering spredes ud på alle backends. Bruges når kravet er at LB'en aldrig ser klartekst — fx ved mTLS hvor backend skal validere klientcertifikatet selv.

Bridging (re-encryption)

Load balanceren terminerer TLS fra klienten, inspicerer/router trafikken, og opretter en ny TLS-forbindelse ud mod backend. Det giver både L7-funktioner (WAF, routing, caching) og kryptering på hele vejen. Prisen er dobbelt krypto-arbejde og certifikater begge steder: et offentligt certifikat på LB'en og et (ofte internt) certifikat på backend. Det er standardvalget når compliance kræver kryptering hele vejen, men du stadig vil inspicere trafikken.

Konsekvenser for certifikat-håndtering

Offloading: ét offentligt certifikat på LB'en — enkelt at rotere, men husk at backend-leddet er ukrypteret.
Passthrough: certifikaterne ligger på alle backends — flere steder at rotere og overvåge.
Bridging: to lag certifikater. Det interne backend-certifikat overses ofte, fordi det "ikke er offentligt" — men hvis det udløber, ryger ende-til-ende-forbindelsen.

Se hvordan det udmønter sig konkret på F5 BIG-IP (Client SSL / Server SSL-profiler) og på Azure Application Gateway og Front Door.

Bekræft hvad der faktisk serveres på hvert led

Uanset model bør du verificere certifikatet både på fronten og — ved bridging — på backend-leddet. Test hvert led for sig:

# Fronten: hvad ser klienten?
openssl s_client -connect example.com:443 -servername example.com

# Backend-leddet ved bridging/passthrough (internt navn/IP)
openssl s_client -connect 10.0.0.20:443 -servername backend.internal

Det blinde punkt: interne backend-certifikater

Ved bridging og passthrough lever certifikater på backends og interne services, hvor de aldrig dukker op i offentlige Certificate Transparency-logs og let glemmes. CertControl scanner både jeres offentlige endpoints og — via collector-agenten — de interne, så hverken et udløbet LB-certifikat eller et glemt backend-certifikat bliver et blindt punkt. Læs også ACME-pillaren om at holde dem alle fornyet automatisk.

Ofte stillede spørgsmål

Hvad er forskellen på TLS offloading og terminering?

Det er samme ting: load balanceren afslutter (terminerer) den krypterede forbindelse og sender klartekst videre til backend. 'Offloading' fremhæver at krypto-arbejdet flyttes væk fra backend.

Hvad er bridging eller re-encryption?

Load balanceren dekrypterer trafikken fra klienten, kan inspicere den, og krypterer den igen i en ny TLS-forbindelse ud mod backend. Du får både L7-inspektion og kryptering hele vejen.

Hvornår skal jeg vælge passthrough?

Når load balanceren aldrig må se klartekst — typisk ved strenge compliance-krav eller mTLS, hvor backend selv skal validere klientcertifikatet. Til gengæld kan du ikke køre WAF eller L7-routing på LB'en.

Hvilket certifikat skal hvor ved bridging?

Et offentligt, betroet certifikat på load balanceren (det klienten ser) og et certifikat på backend (det LB'en forbinder til). Backend-certifikatet er ofte fra en intern CA og overses let i overvågningen.

Er offloading usikkert?

Ikke i sig selv, men leddet mellem load balancer og backend er ukrypteret. Det er kun acceptabelt på et betroet, isoleret netværk. Kræver du kryptering hele vejen, så brug bridging eller passthrough.

Se platformen Book demo