Можливо, закрити порт 80 і все-таки використовувати порт 443?

11

У мене є веб-додаток, який повинен бути доступний лише через HTTPS.

  • Чи можливо, і розумна ідея повністю закрити порт 80?
  • Чи є якісь недоліки у закритті порту 80, окрім того, браузери не можуть вразити його незашифрованим способом?

Видимість пошукової системи не є пріоритетною.

apache-2.2  ssl  https 
Ізоціанат аллілу
джерело

Відповіді:

10

Ви можете вказати, що apache слухає лише певний порт, для всіх сайтів або просто VirtualHost. Див. Директиву про слухання .

Якщо у вас є ім'я або віртуальний хост ip для цього сайту, просто налаштуйте його, щоб він використовував лише порт 443. Також добре б перенаправити всі запити вашого сайту на порт 80 до 443. У Вікіпедії є кілька прикладів того, як це зробити реалізуйте це, використовуючи сувору безпеку транспорту HTTP , з прикладом vhost для Apache.

Дана Здорова
джерело
3
Ще одним хорошим підходом було б залишити 80 прослуховувань, але лише перенаправляючи всі запити на https://.
Шейн Мадден
1
Ти маєш рацію, я б сказав, що це в основному обов'язково.
Dana Sane
3
Деякі можуть стверджувати, що перенаправлення HTTP -> HTTPS - це погана ідея з точки зору безпеки. Що станеться, якщо на розглянутому веб-сайті є веб-сторінка, для якої використовується метод GET, і дія, яка вказує на версію сайту, яка не є https? Якщо кінцевий користувач знизив налаштування безпеки свого веб-переглядача, а на вашому веб-сайті є http -> https, перенаправлення, то, можливо, ви ставите під загрозу їх безпеку та приватність. HSTS був частково створений через проблеми з перенаправленням http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Мені подобається це рішення, чи підтримка зріла?
Dana Sane
1
Варто зазначити, що в більшості випадків вам все одно знадобиться перенаправлення HTTP-> HTTPS, оскільки надсилати заголовок HSTS через HTTP (незахищене) з'єднання заборонено. Однак відповідний браузер ніколи не зробить другий звичайний HTTP-запит. Крім того, IE (версії 10) і Safari (на версію 6) не підтримують HSTS, тому якщо ви не хочете зовсім закривати порт 80, ви все ще затримаєтеся з переадресацією.
eaj
0

Чи можливо, і розумна ідея повністю закрити порт 80?

Так. Вам слід закрити порти, які не використовуються.

Чи є якісь недоліки у закритті порту 80, окрім того, браузери не можуть вразити його незашифрованим способом?

Жоден. Звичайно, ви повинні закривати лише вхідні з'єднання, а не вихідні. Тож ви все одно можете оформити, sudo apt-get updateякщо вам потрібно.

каратіог
джерело
Зараз я не можу згадати попередній стан, але яка проблема була з форматуванням?
karatedog
Якщо ви натиснете на посилання після слова "відредаговано", ви побачите різні версії. Мені здається, що цитований текст був змінений з односхилого шрифту на шрифт змінної ширини.
Slartibartfast
Текст цитати містився в одному рядку в прокрученому текстовому полі, і не все видно. Використання формату md цитат виправляє це.
Dana Sane
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.