¿Es posible cerrar el puerto 80 y aún usar el puerto 443?

11

Tengo una aplicación web que solo debería ser accesible a través de HTTPS.

  • ¿Es posible y una buena idea cerrar el puerto 80 por completo?
  • ¿Hay algún inconveniente en cerrar el puerto 80, más allá del hecho de que los navegadores no pueden alcanzarlo de manera no cifrada?

La visibilidad del motor de búsqueda no es una prioridad.

apache-2.2 ssl https Isocianato de alilo
fuente

Respuestas:

10

Puede especificar que apache solo escuche en un puerto en particular, para todos los sitios, o solo en VirtualHost. Vea la directiva Listen .

Si tiene un nombre o un host virtual ip para ese sitio, configúrelo para usar solo el puerto 443. También es una buena idea redirigir todas las solicitudes de su sitio en el puerto 80 al 443. Hay algunos ejemplos en Wikipedia sobre cómo implemente esto usando HTTP Strict Transport Security , con un ejemplo de vhost para Apache.

Dana la sana
fuente
3
Otro buen enfoque sería dejar 80 escuchando, pero con solo una redirección enviando todas las solicitudes https://.
Shane Madden
1
Tienes razón, diría que es básicamente obligatorio.
Dana the Sane
3
Algunos podrían argumentar que una redirección HTTP -> HTTPS es una mala idea desde una perspectiva de seguridad. ¿Qué sucede si el sitio en cuestión tiene una web para la cual utiliza el método GET y una acción que apunta a la versión del sitio que no es https? Si el usuario final ha bajado la configuración de seguridad de su navegador y su sitio tiene un http -> https, redirigir, entonces puede estar comprometiendo su seguridad y privacidad. HSTS se creó en parte debido a los problemas con la redirección http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache Me gusta esa solución, ¿el soporte está maduro?
Dana the Sane
1
Vale la pena señalar que en la mayoría de los casos aún necesitará la redirección HTTP-> HTTPS ya que no está permitido enviar el encabezado HSTS a través de una conexión HTTP (no segura). Sin embargo, un navegador conforme nunca realizará una segunda solicitud HTTP simple. Además, IE (a partir de la versión 10) y Safari (a partir de la versión 6) no son compatibles con HSTS, por lo que si no desea cerrar el puerto 80 por completo, todavía está atascado con la redirección.
Eaj
0

¿Es posible y una buena idea cerrar el puerto 80 por completo?

Sí lo es. Debe cerrar los puertos que no se utilizan.

¿Hay algún inconveniente en cerrar el puerto 80, más allá del hecho de que los navegadores no pueden alcanzarlo de manera no cifrada?

Ninguna. Por supuesto, debe cerrar solo las conexiones entrantes , no las salientes. Por lo tanto, aún puede emitir un sudo apt-get updatesi lo necesita.

karatedog
fuente
Ahora no puedo recordar el estado anterior, pero ¿cuál fue el problema con el formato?
karatedog
Si hace clic en el enlace después de la palabra "editado", puede ver las diferentes versiones. Me parece que el texto citado se cambió de una fuente monoespaciada a una fuente de ancho variable.
Slartibartfast
El texto de la cita estaba todo en una línea en un campo de texto desplazado, y no todos estaban visibles. El uso del formato de comillas md corrige esto.
Dana the Sane