Có thể đóng cổng 80 mà vẫn sử dụng cổng 443?

11

Tôi có một ứng dụng web chỉ có thể truy cập thông qua HTTPS.

  • Có thể, và một ý tưởng khôn ngoan để đóng cổng 80 hoàn toàn?
  • Có bất kỳ nhược điểm nào khi đóng cổng 80, ngoài thực tế các trình duyệt không thể truy cập nó theo cách không được mã hóa?

Khả năng hiển thị của công cụ tìm kiếm không phải là một ưu tiên.

apache-2.2  ssl  https 
Allyl Isocyanate
nguồn

Câu trả lời:

10

Bạn có thể chỉ định rằng apache chỉ nghe trên một cổng cụ thể, cho tất cả các trang web hoặc chỉ một Virtualhost. Xem chỉ thị Nghe .

Nếu bạn có tên hoặc máy chủ ảo ip cho trang web đó, chỉ cần định cấu hình nó để chỉ sử dụng cổng 443. Bạn cũng nên chuyển hướng tất cả các yêu cầu cho trang web của mình trên cổng 80 đến 443. Có một vài ví dụ trên Wikipedia về cách triển khai việc này bằng HTTP Strict Transport Security , với ví dụ vhost cho Apache.

Dana Sane
nguồn
3
Một cách tiếp cận tốt khác là để lại 80 lượt nghe, nhưng chỉ với một chuyển hướng gửi tất cả các yêu cầu đến https://.
Shane Madden
1
Bạn nói đúng, về cơ bản là bắt buộc.
Dana the Sane
3
Một số người có thể lập luận rằng chuyển hướng HTTP -> HTTPS là một ý tưởng tồi từ góc độ bảo mật. Điều gì xảy ra nếu trang web được đề cập có một trang web sử dụng phương thức GET và một hành động trỏ đến phiên bản không https của trang web? Nếu người dùng cuối đã hạ thấp cài đặt bảo mật của trình duyệt của họ và trang web của bạn có http -> https, chuyển hướng, thì bạn có thể đang làm tổn hại đến bảo mật và quyền riêng tư của họ. HSTS được tạo một phần do các vấn đề với chuyển hướng http -> https. vi.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Tôi thích giải pháp đó, là hỗ trợ trưởng thành?
Dana the Sane
1
Điều đáng chú ý là trong hầu hết các trường hợp, bạn vẫn sẽ cần chuyển hướng HTTP-> HTTPS vì không được phép gửi tiêu đề HSTS qua kết nối HTTP (không bảo mật). Tuy nhiên, một trình duyệt tuân thủ sẽ không bao giờ thực hiện yêu cầu HTTP đơn giản thứ hai. Ngoài ra, IE (kể từ phiên bản 10) và Safari (kể từ phiên bản 6) không hỗ trợ HSTS, vì vậy nếu bạn không muốn tắt cổng 80 hoàn toàn, bạn vẫn bị kẹt với chuyển hướng.
eaj
0

Có thể, và một ý tưởng khôn ngoan để đóng cổng 80 hoàn toàn?

Vâng, đúng vậy. Bạn nên đóng các cổng không được sử dụng.

Có bất kỳ nhược điểm nào khi đóng cổng 80, ngoài thực tế các trình duyệt không thể truy cập nó theo cách không được mã hóa?

Không ai. Tất nhiên, bạn chỉ đóng các kết nối đến chứ không phải các kết nối đi. Vì vậy, bạn vẫn có thể phát hành sudo apt-get updatenếu bạn cần.

karatedog
nguồn
Bây giờ tôi không thể nhớ trạng thái trước đó, nhưng vấn đề với định dạng là gì?
karatedog
Nếu bạn nhấp vào liên kết sau từ 'được chỉnh sửa', bạn có thể thấy các phiên bản khác nhau. Đối với tôi có vẻ như văn bản được trích dẫn đã được thay đổi từ một phông chữ đơn cách thành một phông chữ có chiều rộng thay đổi.
Slartibartfast
Văn bản trích dẫn là tất cả trên một dòng trong trường văn bản cuộn và không hiển thị tất cả. Sử dụng định dạng trích dẫn md sửa lỗi này.
Dana the Sane
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.