Fórum Root.cz

Hlavní témata => Server => Téma založeno: Host 01. 12. 2015, 13:28:36

Název: Zákaz portu 80 a povolení pouze 443
Přispěvatel: Host 01. 12. 2015, 13:28:36

Dobry den

Mam na serveru zakazany port 80 a web na serveru je dostupny pouze pres 443. Problem je ale v tom, kdyz uzivatel zadava adresu napr xx.cz tak se na web nedostane protoze dotaz jde na port 80. Uzivatel musi tedy zadat https://xx.cz a pak je vse OK.

Jde to nastavit tak aby uzivateli stacilo zadat standardne jen xx.cz a port 80 zustal zablokovany?

Dekuji

Název: Re:Zakani portu 80 a povoleni pouze 443
Přispěvatel: Kolemjdoucí 01. 12. 2015, 13:42:39

Citace: Host  01. 12. 2015, 13:28:36

Jde to nastavit tak aby uzivateli stacilo zadat standardne jen xx.cz a port 80 zustal zablokovany?

Ne. Aby uživateli stačilo zadat jen xx.cz tak by bylo potřeba port 80 odblokovat a na http požadavky odpovídat redirectem na https.

Název: Re:Zakani portu 80 a povoleni pouze 443
Přispěvatel: j 01. 12. 2015, 14:33:19

Viz predchozi, oni totiz tupci delajici prohlizece sice zcela s klidem vyzkousi 10 tld, nebo 20 nahodnych domen +- obsahujicich zadane, ale ze by vyzkouseli https, to je ani nenapadne.

A stejne tak neumi to, co existuje uz par desetileti - srv, coz treba v pripade ff je bug aktivni teprve smesnych 16 let.
https://bugzilla.mozilla.org/show_bug.cgi?id=14328

BTW: Redirect muzes samo udelat na jinym serveru, kam namiris ty lidi pomoci dns, takze to "jde" udelat tak, ze na tom konkretnim stroji bude port 80 nedostupny. Ale je to samo drbani se nohou za krkem a potrebujes ten dalsi stroj, at uz svuj nebo cizi.

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: podhy 01. 12. 2015, 14:52:13

Jde to vyřešit. Dejte si stránky do HSTS preload listu. Pokud tam stránky budete mít tak se v prohlížeči provede interní redirect bez zkoušení portu 80 na serveru. Bohužel s podporou to už tak slavné není.

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: PCnity 02. 12. 2015, 16:42:41

V com je problem prevadzkovat na TCP/80 redirect na HTTPS? U mna je to jeden riadok v nginx konfiguracii.

server {
       listen   80;
       return   301 https://$server_name$request_uri;
}

Apache a osotane budu mat urcite velmi podobne moznosti.

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: podhy 02. 12. 2015, 16:53:29

Citace: PCnity  02. 12. 2015, 16:42:41

V com je problem prevadzkovat na TCP/80 redirect na HTTPS? U mna je to jeden riadok v nginx konfiguracii.

server {
       listen   80;
       return   301 https://$server_name$request_uri;
}

Apache a osotane budu mat urcite velmi podobne moznosti.

protože vás to např. neochrání proti SSL strippingu

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: PCnity 02. 12. 2015, 17:03:54

Logicky ze to neochrani proti SSL Stripu, ale to neochrani ani blokovanie TCP/80. MITM so zmenou vsetkych odkazov na HTTP si urobim uplne nezavisle na tom ci ma dany web aj oficialne HTTP.

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: Borek . 02. 12. 2015, 20:42:33

Předřečníci mají pravdu. Blokovat port 80 nemá praktický smysl. Správný postup je nechat povolený 80 i 443, na serveru nastavit redirect na HTTPS a zároveň publikovat HSTS s dlouhou dobou trvání. A vše validovat na https://www.ssllabs.com/ssltest/ Pokud tam dosáhneš A nebo A+, je to to nejlepší, co můžeš pro zabezpečení komunikace s webem udělat.

Je zbytečný znovu vymýšlet kolo.

Název: Re:Zákaz portu 80 a povolení pouze 443
Přispěvatel: Borek . 02. 12. 2015, 20:47:19

A samozřejmě ideálně i zmíněný HSTS preload.