"Mennyire "tulgondolas" ez? Belso halozatban lehet komolyabb veszely forras a plain text ?"
Válasz egy: Igen lehet, egy felől miért ne lehetne támadó egy belsős (elégedetlen) kolléga, más felől egy bejutott támadó (vagy féreg program) gyűjthet információt a belső forgalom figyeléséből is.
Válasz kettő: Igen túl gondolod, végül is ki a fene férne hozzá a hálózati eszközökhöz, ahol érdemben lehetne dumpolni a forgalmat.
Az én válaszom: Egy belsős CA -t össze dobni nem egy nagy kaland, akkor meg már miért ne lenne minden forgalom TLS titkosított. A kollégák gépeire teríteni a Root és Intermediate CA cert -et nem nagy dolog. Pénzügyei minden cégnek vannak, ergó titkolni, megvédeni valója is, szóval igen is minden forgalom - szó szerint minden - legyen TLS titkosított. Természetesen pont - pont titkosítás legyen, tehát a reverse proxy előtt és mögött is (DB connection is, localhost -on is).
Pár betűszó (és igen tudom, hogy bankra, biztosítóra, pénzügyi szektorra találták ki, meg céloznak velük): DORA, NIS2