Czy można zamknąć port 80 i nadal używać portu 443?

11

Mam aplikację internetową, która powinna być dostępna tylko przez HTTPS.

  • Czy to możliwe i rozsądny pomysł, aby całkowicie zamknąć port 80?
  • Czy są jakieś wady zamykania portu 80, poza tym, że przeglądarki nie mogą trafić go w sposób nieszyfrowany?

Widoczność w wyszukiwarkach nie jest priorytetem.

apache-2.2 ssl https Izocyjanian allilu
źródło

Odpowiedzi:

10

Możesz określić, że apache nasłuchuje tylko na określonym porcie, dla wszystkich witryn lub tylko na VirtualHost. Zobacz dyrektywę Listen .

Jeśli masz nazwę wirtualnego hosta dla tej witryny lub adresu IP, skonfiguruj go tak, aby korzystał tylko z portu 443. Dobrym pomysłem jest również przekierowanie wszystkich żądań dotyczących witryny z portów od 80 do 443. Istnieje kilka przykładów na Wikipedii dotyczących zaimplementuj to za pomocą HTTP Strict Transport Security , z przykładem vhosta dla Apache.

Dana Zdrowa
źródło
3
Innym dobrym rozwiązaniem byłoby pozostawienie 80 słuchania, ale z przekierowaniem wysyłającym wszystkie żądania do https://.
Shane Madden,
1
Masz rację, powiedziałbym, że jest to w zasadzie obowiązkowe.
Dana the Sane
3
Niektórzy mogą argumentować, że przekierowanie HTTP -> HTTPS jest złym pomysłem z punktu widzenia bezpieczeństwa. Co się stanie, jeśli dana witryna ma sieć, dla której używana jest metoda GET oraz działanie wskazujące na wersję witryny inną niż https? Jeśli użytkownik końcowy obniżył ustawienia zabezpieczeń swojej przeglądarki, a Twoja witryna ma przekierowanie http -> https, możesz narazić ich bezpieczeństwo i poufność. HSTS został częściowo stworzony z powodu problemów z przekierowaniem http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Podoba mi się to rozwiązanie, czy wsparcie jest dojrzałe?
Dana the Sane
1
Warto zauważyć, że w większości przypadków nadal potrzebujesz przekierowania HTTP-> HTTPS, ponieważ nie wolno wysyłać nagłówka HSTS przez połączenie HTTP (niezabezpieczone). Jednak zgodna przeglądarka nigdy nie wysyła drugiego zwykłego żądania HTTP. Ponadto IE (od wersji 10) i Safari (od wersji 6) nie obsługują HSTS, więc jeśli nie chcesz całkowicie wyłączać portu 80, nadal utkniesz z przekierowaniem.
eaj
0

Czy to możliwe i rozsądny pomysł, aby całkowicie zamknąć port 80?

Tak to jest. Powinieneś zamknąć te nieużywane porty.

Czy są jakieś wady zamykania portu 80, poza tym, że przeglądarki nie mogą trafić go w sposób nieszyfrowany?

Żaden. Oczywiście należy zamykać tylko połączenia przychodzące , a nie wychodzące. Możesz nadal wydawać, sudo apt-get updatejeśli potrzebujesz.

karatedog
źródło
Teraz nie pamiętam poprzedniego stanu, ale jaki był problem z formatowaniem?
karatedog
Jeśli klikniesz link po słowie „edytowany”, zobaczysz różne wersje. Wygląda mi na to, że cytowany tekst został zmieniony z czcionki o stałej szerokości na czcionkę o zmiennej szerokości.
Slartibartfast
Tekst cytatu znajdował się w jednym wierszu w przewijanym polu tekstowym i nie był cały widoczny. Zastosowanie formatowania wyceny md rozwiązuje ten problem.
Dana the Sane