สามารถปิดพอร์ต 80 และยังใช้พอร์ต 443 ได้หรือไม่

11

ฉันมีเว็บแอปพลิเคชันที่ควรเข้าถึงได้ผ่าน HTTPS เท่านั้น

  • เป็นไปได้หรือไม่และเป็นความคิดที่ฉลาดที่จะปิดพอร์ต 80 โดยสิ้นเชิง?
  • มีข้อเสียใด ๆ ในการปิดพอร์ต 80 นอกเหนือจากข้อเท็จจริงที่ว่าเบราว์เซอร์ไม่สามารถเข้าถึงได้ด้วยวิธีที่ไม่มีการเข้ารหัส?

การมองเห็นเครื่องมือค้นหานั้นไม่สำคัญ

apache-2.2  ssl  https 
Allyl Isocyanate
แหล่งที่มา

คำตอบ:

10

คุณสามารถระบุว่า apache รับฟังเฉพาะพอร์ตที่เฉพาะเจาะจงสำหรับไซต์ทั้งหมดหรือเพียงแค่ VirtualHost ดูคำสั่งฟัง

หากคุณมีชื่อหรือ ip โฮสต์เสมือนสำหรับไซต์นั้นให้กำหนดค่าให้ใช้พอร์ต 443 เท่านั้นนอกจากนี้ยังเป็นความคิดที่ดีที่จะเปลี่ยนเส้นทางคำขอทั้งหมดสำหรับเว็บไซต์ของคุณบนพอร์ต 80 ถึง 443 มีบางตัวอย่างใน Wikipedia เกี่ยวกับวิธีการ ใช้สิ่งนี้โดยใช้HTTP Strict Transport Securityพร้อมกับตัวอย่าง vhost สำหรับ Apache

Dana the Sane
แหล่งที่มา
3
หนึ่งในวิธีการที่ดีอื่น ๆ จะปล่อยให้ฟัง 80 https://แต่มีเพียงการเปลี่ยนเส้นทางการส่งคำขอทั้งหมดไปยัง
เชนหัวเสีย
1
คุณพูดถูกฉันจำเป็นต้องพูด
Dana the Sane
3
บางคนอาจโต้แย้งว่าการเปลี่ยนเส้นทาง HTTP -> HTTPS เป็นแนวคิดที่ไม่ดีจากมุมมองด้านความปลอดภัย จะเกิดอะไรขึ้นถ้าเว็บไซต์ที่สงสัยมีเว็บที่ใช้วิธีการ GET และการกระทำที่ชี้ไปยังเว็บไซต์ที่ไม่ใช่รุ่น https หากผู้ใช้ปลายทางได้ลดการตั้งค่าความปลอดภัยของเบราว์เซอร์และเว็บไซต์ของคุณมี http -> https ให้เปลี่ยนเส้นทางคุณอาจสูญเสียความปลอดภัยและความเป็นส่วนตัวของพวกเขา HSTS ถูกสร้างขึ้นบางส่วนเนื่องจากปัญหาเกี่ยวกับการเปลี่ยนเส้นทาง http -> https en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@ Zoredache ฉันชอบวิธีการแก้ปัญหานั้นการสนับสนุนเป็นผู้ใหญ่หรือไม่
Dana the Sane
1
เป็นที่น่าสังเกตว่าในกรณีส่วนใหญ่คุณจะยังคงต้องการการเปลี่ยนเส้นทาง HTTP-> HTTPS เนื่องจากไม่ได้รับอนุญาตให้ส่งส่วนหัว HSTS ผ่านการเชื่อมต่อ HTTP (ไม่ปลอดภัย) อย่างไรก็ตามเบราว์เซอร์ที่สอดคล้องจะไม่ทำการร้องขอ HTTP ธรรมดาครั้งที่สอง นอกจากนี้ IE (เวอร์ชั่น 10) และ Safari (เวอร์ชั่น 6) ไม่รองรับ HSTS ดังนั้นหากคุณไม่ต้องการปิดพอร์ต 80 โดยสิ้นเชิงคุณยังคงติดขัดอยู่กับการเปลี่ยนเส้นทาง
eaj
0

เป็นไปได้หรือไม่และเป็นความคิดที่ฉลาดที่จะปิดพอร์ต 80 โดยสิ้นเชิง?

ใช่แล้ว. คุณควรปิดพอร์ตเหล่านั้นที่ไม่ได้ใช้

มีข้อเสียใด ๆ ในการปิดพอร์ต 80 นอกเหนือจากข้อเท็จจริงที่ว่าเบราว์เซอร์ไม่สามารถเข้าถึงได้ด้วยวิธีที่ไม่มีการเข้ารหัส?

ไม่มี. แน่นอนคุณต้องปิดการเชื่อมต่อขาเข้าเท่านั้นไม่ใช่การเชื่อมต่อขาออก ดังนั้นคุณยังสามารถออก a sudo apt-get updateถ้าคุณต้องการ

karatedog
แหล่งที่มา
ตอนนี้ฉันจำสถานะก่อนหน้าไม่ได้ แต่ปัญหาในการจัดรูปแบบคืออะไร
karatedog
หากคุณคลิกที่ลิงค์หลังคำว่า 'แก้ไข' คุณจะเห็นเวอร์ชันต่าง ๆ ฉันคิดว่าข้อความที่ยกมานั้นเปลี่ยนจากแบบอักษร monospaced เป็นแบบอักษรความกว้างตัวแปร
Slartibartfast
ข้อความคำพูดทั้งหมดในบรรทัดเดียวในช่องข้อความเลื่อนและมองไม่เห็นทั้งหมด การใช้การจัดรูปแบบเครื่องหมายคำพูด md แก้ไขสิ่งนี้
Dana the Sane
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.