可以关闭端口80并仍使用端口443吗?

11

我有一个Web应用程序,只能通过HTTPS访问。

  • 是否有可能,并且完全关闭端口80的明智主意?
  • 除了浏览器无法以非加密方式访问端口80之外,关闭端口80还有什么缺点吗?

搜索引擎可见性不是优先事项。

apache-2.2  ssl  https 
异氰酸烯丙酯
source

Answers:

10

您可以指定apache仅侦听特定端口,所有站点或仅侦听VirtualHost。请参见监听指令。

如果您有该站点的名称或ip虚拟主机,只需将其配置为仅使用端口443。将端口80上站点的所有请求重定向到443也是一个好主意。Wikipedia上有一些有关如何使用HTTP Strict Transport Security以及Apache的vhost示例来实现此目的。

萨娜(Dana the Sane)
source
3
另一种好的方法是让80处于监听状态,而只是重定向将所有请求发送到https://
Shane Madden
1
没错,我想这基本上是强制性的。
Dana the Sane
3
从安全角度来看,有人可能会认为HTTP-> HTTPS重定向是一个坏主意。如果所讨论的站点具有使用GET方法的网站,并且该操作指向该站点的非https版本,该怎么办?如果最终用户降低了浏览器的安全性设置,并且您的站点具有http-> https重定向,那么您可能会损害其安全性和特权。HSTS的部分创建是由于http-> https重定向的问题。 en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Zoredache
@Zoredache我喜欢这种解决方案,支持是否成熟?
达纳(Dana the Sane)
1
值得注意的是,在大多数情况下,您仍然需要HTTP-> HTTPS重定向,因为它不允许通过HTTP(非安全)连接发送HSTS标头。但是,兼容的浏览器将永远不会发出第二个纯HTTP请求。另外,IE(从版本10开始)和Safari(从版本6开始)不支持HSTS,因此,如果您不想完全关闭端口80,则仍然会遇到重定向问题。
eaj 2013年
0

是否有可能,并且完全关闭端口80的明智主意?

是的。您应该关闭那些未使用的端口。

除了浏览器无法以非加密方式访问端口80之外,关闭端口80还有什么缺点吗?

没有。当然,您将只关闭传入连接,而不关闭传出连接。因此,sudo apt-get update如果需要,您仍然可以发出a 。

空手道
source
现在我不记得以前的状态了,但是格式化出现了什么问题?
karatedog
如果单击“已编辑”一词后的链接,则可以看到各种版本。在我看来,引用的文字已从等宽字体更改为可变宽度字体。
Slartibartfast 2011年
引号文本全部位于滚动文本字段中的一行上,并且并非全部可见。使用md引号格式可以更正此问题。
Dana the Sane
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.