È possibile chiudere la porta 80 e utilizzare ancora la porta 443?

11

Ho un'applicazione web che dovrebbe essere accessibile solo tramite HTTPS.

  • È possibile e un'idea saggia chiudere completamente la porta 80?
  • Ci sono degli svantaggi nella chiusura della porta 80, oltre al fatto che i browser non possono colpirla in modo non crittografato?

La visibilità dei motori di ricerca non è una priorità.

apache-2.2  ssl  https 
Isocianato di allile
fonte

Risposte:

10

Puoi specificare che apache ascolti solo su una porta particolare, per tutti i siti o solo su VirtualHost. Vedi la direttiva Listen .

Se hai un nome o un host virtuale ip per quel sito, configuralo per usare solo la porta 443. È anche una buona idea reindirizzare tutte le richieste per il tuo sito sulla porta 80 a 443. Ci sono alcuni esempi su Wikipedia su come implementarlo usando HTTP Strict Transport Security , con un esempio di vhost per Apache.

Dana the Sane
fonte
3
Un altro buon approccio sarebbe quello di lasciare 80 in ascolto, ma con un solo reindirizzamento a cui inviare tutte le richieste https://.
Shane Madden
1
Hai ragione, direi che è sostanzialmente obbligatorio.
Dana the Sane,
3
Alcuni potrebbero sostenere che un reindirizzamento HTTP -> HTTPS sia una cattiva idea dal punto di vista della sicurezza. Cosa succede se il sito in questione ha una rete per la quale utilizza il metodo GET e un'azione che punta alla versione non https del sito? Se l'utente finale ha abbassato le impostazioni di sicurezza del proprio browser e il tuo sito ha un http -> https, reindirizzamento, potresti compromettere la sicurezza e la riservatezza. HSTS è stato in parte creato a causa dei problemi con il reindirizzamento http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Mi piace quella soluzione, il supporto è maturo?
Dana the Sane,
1
Vale la pena notare che nella maggior parte dei casi sarà comunque necessario il reindirizzamento HTTP-> HTTPS poiché non è consentito inviare l'intestazione HSTS su una connessione HTTP (non protetta). Tuttavia, un browser conforme non farà mai una seconda richiesta HTTP semplice. Inoltre, IE (dalla versione 10) e Safari (dalla versione 6) non supportano HSTS, quindi se non si desidera chiudere completamente la porta 80, si rimane bloccati con il reindirizzamento.
eaj,
0

È possibile e un'idea saggia chiudere completamente la porta 80?

Sì. È necessario chiudere quelle porte che non vengono utilizzate.

Ci sono degli svantaggi nella chiusura della porta 80, oltre al fatto che i browser non possono colpirla in modo non crittografato?

Nessuna. Ovviamente devi chiudere solo le connessioni in entrata , non quelle in uscita. Quindi puoi ancora emettere un sudo apt-get updatese necessario.

karatedog
fonte
Ora non ricordo lo stato precedente, ma qual è stato il problema con la formattazione?
Karatedog
Se si fa clic sul collegamento dopo la parola "modificato", è possibile visualizzare le varie versioni. Mi sembra che il testo tra virgolette sia stato modificato da un carattere a spaziatura fissa a un carattere a larghezza variabile.
Slartibartfast,
Il testo della citazione era tutto su una riga in un campo di testo scorrevole e non era tutto visibile. L'uso della formattazione del preventivo md lo corregge.
Dana the Sane,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.