Сайт с доступом только по https. Плюсы и минусы?

Question

[ucy3000]

Есть сайт. Админы настроили сервер так, что открыт только порт 443, порт 80 закрыт, аргументируя это соображениями безопасности.
Обычно делают открытыми оба порта с редиректом.
Получается теперь чтобы открыть сайт, надо сразу указывать https в адресе сайта.
Стоить задача найти еще доводы, чтобы их переубедить их и настроить сервер по нормальному.

Comments

[Алексей Уколов]

Они могут эти соображения безопасности предоставить вам в виде списка из 3-5 пунктов? Мне лично кажется, что они дурью маются.

[Максим Федоров]

Получается теперь чтобы открыть сайт, надо сразу указывать https в адресе сайта.

Верно, это есть единственный сейчас способ, http крайне небезопасен и не имеет смысла

чтобы их переубедить их и настроить сервер по нормальному.

так они же сделали по-нормальному, в чем их убедить? зачем небезопасный вариант оставлять? попробуйте на авит или яндекс зайти по 80 порту :) чтобы любой юзер этих сервисов мог быть в опасности — такое невозможно

[ucy3000]

Максим Федоров, в том что если сейчас в браузере вбить просто адрес вида example.com, браузер сперва пойдет открывать сайт по http, что у него не получиться сделать, т.к. порт закрыт
речь не идет о том чтобы сделать сайт сделать полноценно доступным по http
речь о том чтобы сервер на все запросы по http отвечал ответом 301 Moved Permanently с перенаправленнием на https

[Sanes]

Максим Федоров,

попробуйте на авит или яндекс зайти по 80 порту :) чтобы любой юзер этих сервисов мог быть в опасности — такое невозможно

Возможно. Сработает редирект.

[Максим Федоров]

Sanes, а вот этом смысле

[Максим Федоров]

ucy3000, я понял, сори

[Vladislav]

Какой сервер они настроили? Навернка сервер сайта отдельно и есть отдельный веб прокси. Пользователь с начала попадает на веб прокси - там и можно настроить редирект с 80 на 443. Возможно ваших админов устроит такой вариант.

Answer 1

[Владимир Дубровин]

Текущая общепринятая практика это редирект в https на 80м порту и HSTS на 443м. Использование HSTS приводит к тому, что клиент никогда не будет использовать HTTP с сайтом, даже если явно указать http в URL. Дополнительно, можно отправить домен в список HSTS preload В США практика официально закреплена в документе The HTTPS-Only Standard, обязательном для правительственных агентств, в нем есть отдельное упоминание что:

Allowing HTTP connections for the sole purpose of redirecting clients to HTTPS connections is acceptable and encouraged. HSTS headers must specify a max-age of at least 1 year.

.

т.е. разрешать подключения к 80му порту с целью редиректа не толко допустимо, но и желательно.

Закрытие 80го порта не обеспечивает более высокой защиты чем редирект + HSTS, т.к. в случае MitM атаки атакующий может перехватить запрос к 80му и подменить ответ независимо от того открыт он или нет на сервере назначения. Т.е. закрытие 80го порта приводит к нежелательным эффектам без какого-либо повышения уровня защищенности.

Answer 2

[AlexVWill]

порт 80 закрыт, аргументируя это соображениями безопасности

Это полный бред... 80 порт слушается апачем точно так же как 443, разницы в них нет абсолютно никакой... Гоните этих "админов" ссаными тряпками.
Плюсов никаких не вижу от слова вообще.

Comments

[Dmitriy Loginov]

Счего вы взяли что там апач?
Любой веб сервер можно настроить на любой порт, 80 может и не использоваться.

Answer 3

[Sergey В.]

Гипотетически закрытие 80 порта может повлиять на:
1. Работу некоторых парсеров и роботов по индексации;
2. Работы сервисов, определяющих доступность сайта;
3. Работу IoT устройств которые не могут по https

Answer 4

[Adamos]

Например, другой сайт, давая на вас ссылку, может не знать, что у вас админы-радикалы, и SEO этой ссылки, по которой никто не сможет перейти, недосчитается.

Answer 5

[AUser0]

Скажите админам, что по умолчанию браузерами коннект делается на порт 80, HTTP.

Но если стои-и-иит плагииии-и-и-ин автоперевода на HTTPS, или сам сервер редиректит, или руками добавляешь S куда надо - вот тогда даааа, нате вам HTTPS. Но только тогда.

А по умолчанию, если набран просто домен - будет HTTP. Точка!

Comments

[Максим Федоров]

зачем админам говорить, что по-умолчани стоит не SSL, если админы сделали с SSL? сказать чтобы что?

[AUser0]

Максим Федоров, сказать, что часть пользователей, не знающих тонкостей, не попадёт на сайт.

А 301 Moved permanently безопасность совершенно не нарушит.

[Максим Федоров]

AUser0, че за бред? Почему не попадет?

[AUser0]

Максим Федоров, если 80-й порт пуст - как попасть на HTTP?

Answer 6

[paran0id]

Совершенно нормально. Современные браузеры уже ругаются на http, не стоит лишний раз пугать юзера сообщением о том, что "что-то там небезопасно" на вашем сайте.

Попросите админов сделать редирект с 80 на 443.

Comments

[ucy3000]

Да, вы правы, ругаются на http. Но дело в том, что админы вообще не хотят включать http для настройки редиректа.

[AlexVWill]

Попросите админов сделать редирект с 80 на 443.

А это вообще возможно? Возможна переадресация апачем, это в конфиге настраивается, но для переадресации надо сначала чтобы запрос попал на сервер через 80 порт через HTTP

[ucy3000]

редирект работает на уровне протокола http. порты слушают какие то программы (например, апач)
так что без открытого порта 80 никак редирект не сделать получается

[paran0id]

ucy3000, я исходил из того, что админы управляют и фаерволлом, и веб-сервером, и тем, что между ними.

Answer 7

[Сергей Соколов]

Chrome, начиная с версии 90, а сейчас актуальная 109, по умолчанию пробует в первую очередь протокол HTTPS (источник новости)

В Firefox появился режим https-only, который вообще запрещает любые подключения по незащищённому HTTP, если вручную не добавили сайт в исключения.

Так что решение админов не открывать HTTP вообще — немного радикально, игнорирует убогих с устаревшими системами-браузерами, приведёт к потере пары посетителей, но в целом, некритично.

Comments

[ucy3000]

firefox 108.0.2 на маке не открывает https по умолчанию
edge 109 тоже
еще brave, vivaldi
тоже самое с сафари на маке и ios

это только те что я проверил

как то не получается назвать эти системы и браузеры убогими и устаревшими
а учитывая что на ios кроме сафари нет больше браузеров, теряется большая доля аудитории сайта

[Сергей Соколов]

ucy3000, спасибо, что проверили!
Вот и аргумент для админов.

[Максим Гришин]

Ещё сломается letsencrypt certbot, если он работает через аутентификацию HTTP с этого же сервера. С учетом описанного уровня квалификации админов, это вероятно.

[Сергей Соколов]

Максим Гришин, да нее, они, конечно же, настроили верификацию через API CloudFlare.
</sarcasm>

[ucy3000]

тсс. еще услышат.

а так стоит купленный серт на год с ручной заменой

[fdroid]

Веб-интерфейсы сетевых устройств, которые работают по http:

Answer 8

[Sanes]

Не надо закрывать 80 порт. Достаточно сделать редирект средствами веб-сервера.
Адрес сайта набирать вручную будет неудобно. Это как минимум.

Answer 9

[Василий]

такое может иметь смысли если перед веб сервером есть штука типа traefik которая слушает 80 и 443 и генерит сертификаты по необходимости и она уже перенаправляет только на 443