4 votos

Sitio web solo de HTTPS

Es aceptable para ejecutar un sitio web que sólo sirve en HTTPS y no HTTP. Considerar situaciones donde la llanura de los nombres de dominio se escriben en la barra de direcciones. Normalmente los sitios web redirige al usuario a la versión HTTPS.

Hay una buena razón para querer sólo proporcionan HTTPS. Considere este escenario:

  • El usuario es un desarrollador mediante una API REST para hablar con el servidor.
  • El usuario se olvida de la "s" al final de "http" cuando la publicación de información potencialmente sensible.
  • POST va en el cable con su carga en un no-canal seguro vulnerables a la costumbre de espionaje.
  • Sólo después de que el POST es completa, no el servidor envía una redirección código para el sitio seguro

3voto

Shane Madden Puntos 81409

Depende del sitio.

La situación que he descrito anteriormente sólo se puede evitar si el servidor no acepta la conexión en el puerto 80 de cualquier tipo; una amigable con el usuario redirigir o incluso una página de error que dice "usar https!" permitiría sin cifrar solicitud de la API para ser enviado. Por supuesto, cuando no funciona, la persona que realiza la llamada en espera debe notar y corregir su error después de un intento fallido - y esperemos que no pruebas con datos sensibles.

Sea o no este sola no segura intento de comunicación es aceptable (esperemos que con los datos no sensibles) depende totalmente de sus necesidades de seguridad.


Si el sitio utiliza para las llamadas a la API sólo, entonces, es correcto dejar el puerto 80 off.

Si los usuarios a visitar el sitio en un navegador (introducir la dirección manualmente), entonces no esperes a ser capaz de dejar el puerto 80 sin confusión y molesta a los usuarios.

2voto

Yanick Girouard Puntos 1218

Yo realmente no veo ninguna buena razón para no hacerlo. Si su sitio tiene que estar seguro de todo el camino, entonces nada impide que solo servía a través de SSL.

He aquí una KB en cómo hacerlo: Apache: Redirección de http a https Apache conexión segura – la fuerza de las Conexiones HTTPS

Para permitir sólo las conexiones SSL, también se podría utilizar el SSLRequireSSL directiva en la configuración de su servidor.

(No sé si esto sería adecuado para usted, ya que sería redirigir TODO el tráfico del puerto 80 al puerto 443 para toda su servidor, pero esto también podría trabajar):

Modificar su iptables para redirigir el puerto 80 al puerto 443:

--iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
--iptables -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
--iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 443

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: