Est-il possible de fermer le port 80 et d'utiliser toujours le port 443?

11

J'ai une application Web qui ne devrait être accessible que via HTTPS.

  • Est-il possible et judicieux de fermer complètement le port 80?
  • Y a-t-il des inconvénients à fermer le port 80, au-delà du fait que les navigateurs ne peuvent pas le toucher de manière non cryptée?

La visibilité des moteurs de recherche n'est pas une priorité.

apache-2.2 ssl https Isocyanate d'allyle
la source

Réponses:

10

Vous pouvez spécifier qu'apache n'écoute que sur un port particulier, pour tous les sites, ou juste un VirtualHost. Voir la directive Listen .

Si vous avez un nom ou un hôte virtuel ip pour ce site, configurez-le simplement pour utiliser uniquement le port 443. Il est également judicieux de rediriger toutes les demandes pour votre site sur le port 80 vers 443. Il y a quelques exemples sur Wikipedia sur la façon de implémentez ceci en utilisant HTTP Strict Transport Security , avec un exemple vhost pour Apache.

Dana la saine
la source
3
Une autre bonne approche serait de laisser 80 écouteurs, mais avec juste une redirection envoyant toutes les demandes à https://.
Shane Madden
1
Vous avez raison, je dirais que c'est fondamentalement obligatoire.
Dana the Sane
3
Certains pourraient soutenir qu'une redirection HTTP -> HTTPS est une mauvaise idée du point de vue de la sécurité. Que se passe-t-il si le site en question possède un site Web qui utilise la méthode GET et une action qui pointe vers la version non https du site? Si l'utilisateur final a abaissé les paramètres de sécurité de son navigateur et que votre site dispose d'une redirection http -> https, vous risquez de compromettre sa sécurité et ses privilèges. HSTS a été créé en partie à cause des problèmes de redirection http -> https. en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache J'aime cette solution, le support est-il mature?
Dana the Sane
1
Il convient de noter que dans la plupart des cas, vous aurez toujours besoin de la redirection HTTP-> HTTPS car il n'est pas autorisé à envoyer l'en-tête HSTS via une connexion HTTP (non sécurisée). Cependant, un navigateur conforme ne fera jamais une deuxième requête HTTP simple. En outre, IE (à partir de la version 10) et Safari (à partir de la version 6) ne prennent pas en charge HSTS, donc si vous ne voulez pas fermer complètement le port 80, vous êtes toujours bloqué avec la redirection.
EAJ
0

Est-il possible et judicieux de fermer complètement le port 80?

Oui, ça l'est. Vous devez fermer les ports non utilisés.

Y a-t-il des inconvénients à fermer le port 80, au-delà du fait que les navigateurs ne peuvent pas le toucher de manière non cryptée?

Aucun. Bien sûr, vous ne devez fermer que les connexions entrantes , pas celles sortantes. Vous pouvez donc toujours émettre un sudo apt-get updatesi vous en avez besoin.

karatedog
la source
Maintenant, je ne me souviens plus de l'état précédent, mais quel était le problème avec le formatage?
karatedog
Si vous cliquez sur le lien après le mot «édité», vous pouvez voir les différentes versions. Il me semble que le texte cité est passé d'une police à espacement fixe à une police à largeur variable.
Slartibartfast
Le texte de la citation était sur une seule ligne dans un champ de texte défilé, et pas tous visibles. L'utilisation du formatage md quote corrige cela.
Dana the Sane