Kemungkinan untuk menutup port 80 dan masih menggunakan port 443?

11

Saya memiliki aplikasi web yang hanya dapat diakses melalui HTTPS.

  • Apakah mungkin, dan ide yang bijaksana untuk menutup port 80 sepenuhnya?
  • Apakah ada kekurangan untuk menutup port 80, di luar fakta browser tidak dapat memukulnya dengan cara yang tidak dienkripsi?

Visibilitas mesin pencari bukan prioritas.

apache-2.2 ssl https Allyl Isocyanate
sumber

Jawaban:

10

Anda dapat menentukan bahwa apache hanya mendengarkan pada port tertentu, untuk semua situs, atau hanya VirtualHost. Lihat arahan Dengarkan .

Jika Anda memiliki nama atau ip virtual host untuk situs tersebut, cukup konfigurasikan untuk hanya menggunakan port 443. Juga merupakan ide bagus untuk mengalihkan semua permintaan untuk situs Anda pada port 80 ke 443. Ada beberapa contoh di Wikipedia tentang cara mengimplementasikan ini menggunakan HTTP Strict Transport Security , dengan contoh vhost untuk Apache.

Dana si Sane
sumber
3
Satu pendekatan lain yang baik adalah meninggalkan 80 mendengarkan, tetapi hanya dengan mengarahkan ulang semua permintaan https://.
Shane Madden
1
Kau benar, menurutku itu pada dasarnya wajib.
Dana the Sane
3
Beberapa orang mungkin berpendapat bahwa pengalihan HTTP -> HTTPS adalah ide buruk dari sudut pandang keamanan. Apa yang terjadi jika situs tersebut memiliki web yang menggunakan metode GET, dan tindakan yang mengarah ke versi situs non-https? Jika pengguna akhir telah menurunkan pengaturan keamanan browser mereka, dan situs Anda memiliki http -> https, redirect, maka Anda mungkin membahayakan keamanan dan privasi mereka. HSTS sebagian dibuat karena masalah dengan pengalihan http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Saya suka solusi itu, apakah dukungannya sudah matang?
Dana the Sane
1
Perlu dicatat bahwa dalam kebanyakan kasus Anda masih memerlukan HTTP-> HTTPS redirect karena tidak diperbolehkan untuk mengirim header HSTS melalui koneksi HTTP (tidak diamankan). Namun, browser yang sesuai tidak akan pernah membuat permintaan HTTP polos kedua. Juga, IE (pada versi 10) dan Safari (pada versi 6) tidak mendukung HSTS, jadi jika Anda tidak ingin menutup port 80 sama sekali, Anda masih terjebak dengan pengalihan.
eaj
0

Apakah mungkin, dan ide yang bijaksana untuk menutup port 80 sepenuhnya?

Ya itu. Anda harus menutup port yang tidak digunakan.

Apakah ada kekurangan untuk menutup port 80, di luar fakta browser tidak dapat memukulnya dengan cara yang tidak dienkripsi?

Tidak ada Tentu saja Anda hanya menutup koneksi yang masuk , bukan yang keluar. Jadi Anda masih bisa mengeluarkan sudo apt-get updatejika perlu.

karatedog
sumber
Sekarang saya tidak dapat mengingat kondisi sebelumnya, tetapi apa masalahnya dengan pemformatan?
karatedog
Jika Anda mengklik tautan setelah kata 'diedit', Anda dapat melihat berbagai versi. Bagiku, teks yang dikutip berubah dari font monospaced menjadi font lebar variabel.
Slartibartfast
Teks kutipan semuanya dalam satu baris di bidang teks yang digulir, dan tidak semua terlihat. Menggunakan format kutipan md mengoreksi ini.
Dana the Sane