Можно ли закрыть порт 80 и при этом использовать порт 443?

11

У меня есть веб-приложение, которое должно быть доступно только через HTTPS.

  • Возможна ли и мудрая идея полностью закрыть порт 80?
  • Есть ли какие-либо недостатки в закрытии порта 80, кроме того, что браузеры не могут поразить его незашифрованным способом?

Видимость поисковой системы не является приоритетом.

apache-2.2 ssl https Аллил Изоцианат
источник

Ответы:

10

Вы можете указать, что apache прослушивает только определенный порт, все сайты или только VirtualHost. Смотрите директиву Listen .

Если у вас есть имя или виртуальный хост ip для этого сайта, просто настройте его на использование только порта 443. Также рекомендуется перенаправить все запросы на ваш сайт через порт 80-443. В Википедии есть несколько примеров того, как реализовать это с помощью HTTP Strict Transport Security , с примером vhost для Apache.

Дана вменяемая
источник
3
Другим хорошим подходом было бы оставить 80 слушателей, но с помощью перенаправления всех запросов https://.
Шейн Мэдден
1
Вы правы, я бы сказал, что это в основном обязательно.
Дана Саня
3
Некоторые могут утверждать, что перенаправление HTTP -> HTTPS - плохая идея с точки зрения безопасности. Что произойдет, если на рассматриваемом сайте есть сеть, для которой используется метод GET, и действие, указывающее на версию сайта, отличную от https? Если конечный пользователь снизил настройки безопасности своего браузера, а ваш сайт имеет перенаправление http -> https, то вы можете поставить под угрозу его безопасность и конфиденциальность. HSTS был частично создан из-за проблем с перенаправлением http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@ Zoredache Мне нравится это решение, поддержка уже готова?
Дана Нормальный
1
Стоит отметить, что в большинстве случаев вам все еще понадобится перенаправление HTTP-> HTTPS, поскольку не разрешено отправлять заголовок HSTS через HTTP (незащищенное) соединение. Однако соответствующий браузер никогда не сделает второй простой HTTP-запрос. Кроме того, IE (начиная с версии 10) и Safari (начиная с версии 6) не поддерживают HSTS, поэтому, если вы не хотите полностью отключать порт 80, вы все равно застряли с перенаправлением.
eaj
0

Возможна ли и мудрая идея полностью закрыть порт 80?

Да, это так. Вы должны закрыть те порты, которые не используются.

Есть ли какие-либо недостатки в закрытии порта 80, кроме того, что браузеры не могут поразить его незашифрованным способом?

Никто. Конечно, вы должны закрывать только входящие соединения, а не исходящие. Таким образом, вы все еще можете выдать, sudo apt-get updateесли вам нужно.

karatedog
источник
Теперь я не могу вспомнить предыдущее состояние, но в чем была проблема с форматированием?
каратэдог
Если вы нажмете на ссылку после слова «отредактировано», вы увидите различные версии. Мне кажется, что цитируемый текст был изменен с моноширинного шрифта на шрифт переменной ширины.
Слартибартфаст
Текст цитаты был все в одной строке в текстовом поле с прокруткой, и не все видны. Использование форматирования цитаты md исправляет это.
Дана Нормальная