Ist es möglich, Port 80 zu schließen und trotzdem Port 443 zu verwenden?

11

Ich habe eine Webanwendung, auf die nur über HTTPS zugegriffen werden sollte.

  • Ist es möglich und eine kluge Idee, Port 80 vollständig zu schließen?
  • Gibt es irgendwelche Nachteile beim Schließen von Port 80, außer dass Browser ihn nicht unverschlüsselt treffen können?

Die Sichtbarkeit von Suchmaschinen hat keine Priorität.

apache-2.2 ssl https Allylisocyanat
quelle

Antworten:

10

Sie können festlegen, dass Apache nur einen bestimmten Port, alle Sites oder nur einen VirtualHost überwacht. Siehe die Listen- Direktive.

Wenn Sie einen Namen oder einen virtuellen IP-Host für diese Site haben, konfigurieren Sie ihn einfach so, dass nur Port 443 verwendet wird. Es ist auch eine gute Idee, alle Anforderungen für Ihre Site auf Port 80 bis 443 umzuleiten. Auf Wikipedia finden Sie einige Beispiele dazu Implementieren Sie dies mithilfe von HTTP Strict Transport Security mit einem vhost-Beispiel für Apache.

Dana die Gesunde
quelle
3
Ein anderer guter Ansatz wäre, 80 zuzuhören, aber mit nur einer Umleitung, die alle Anfragen an sendet https://.
Shane Madden
1
Du hast recht, ich würde sagen, das ist grundsätzlich obligatorisch.
Dana the Sane
3
Einige könnten argumentieren, dass eine HTTP -> HTTPS-Umleitung aus Sicherheitsgründen eine schlechte Idee ist. Was passiert, wenn die betreffende Site über ein Web verfügt, für das die GET-Methode verwendet wird, und eine Aktion, die auf die Nicht-https-Version der Site verweist? Wenn der Endbenutzer die Sicherheitseinstellungen seines Browsers gesenkt hat und Ihre Site über eine http -> https-Weiterleitung verfügt, gefährden Sie möglicherweise deren Sicherheit und Privatsphäre. HSTS wurde teilweise aufgrund von Problemen mit der Umleitung von http -> https erstellt. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Ich mag diese Lösung, ist der Support ausgereift?
Dana the Sane
1
Es ist erwähnenswert, dass Sie in den meisten Fällen immer noch die HTTP-> HTTPS-Umleitung benötigen, da der HSTS-Header nicht über eine HTTP-Verbindung (nicht gesichert) gesendet werden darf. Ein konformer Browser wird jedoch niemals eine zweite einfache HTTP-Anfrage stellen. Außerdem unterstützen IE (ab Version 10) und Safari (ab Version 6) HSTS nicht. Wenn Sie also Port 80 nicht vollständig herunterfahren möchten, bleiben Sie bei der Umleitung.
eaj
0

Ist es möglich und eine kluge Idee, Port 80 vollständig zu schließen?

Ja ist es. Sie sollten die nicht verwendeten Ports schließen.

Gibt es irgendwelche Nachteile beim Schließen von Port 80, außer dass Browser ihn nicht unverschlüsselt treffen können?

Keiner. Natürlich dürfen Sie nur eingehende Verbindungen schließen, keine ausgehenden. Sie können also sudo apt-get updatebei Bedarf immer noch eine ausgeben .

Karatedog
quelle
Jetzt kann ich mich nicht mehr an den vorherigen Status erinnern, aber was war das Problem mit der Formatierung?
Karatedog
Wenn Sie nach dem Wort "bearbeitet" auf den Link klicken, werden die verschiedenen Versionen angezeigt. Es sieht für mich so aus, als ob der zitierte Text von einer monospaced Schriftart in eine Schriftart mit variabler Breite geändert wurde.
Slartibartfast
Der Zitattext befand sich alle in einer Zeile in einem gescrollten Textfeld und war nicht alle sichtbar. Die Verwendung der md-Zitatformatierung korrigiert dies.
Dana the Sane