Má ještě význam přesměrování z HTTP na HTTPS?

[petersveter]

Tym mam na mysli, ci v dnesnej dobe kedy vsetky prehliadace preferuju https ma zmysel mat na porte 80 spusteny server ktory len urobi presmerovanie na https, alebo ci je to uz prezitok a mat http ktore realne nic nerobi len presmeruva je uz zbytocne?

[Reklama]

[matusK]

Ano, ma to smysl.

1 - kolega pred par dny narazil na problem kdy nekterym uzivatelum nefungovala jedna web stranka - problem bylo chybejici presemrovani (firefox ve vychozim stavu nema zapnute https everywhere)

2 - Let's encrypt http overeni jede po portu 80. Takze se zavrenym portem musis pouzit jiny zpusob overeni vlastnictvi domeny (http mi ale prijde nejjednodussi na automatizaci)

[_Tomáš_]

co znamená "vsetky prehliadace preferuju https"? Pokud nejsi v preload listu a někdo zadá tvoji doménu do url bez https, tak se nikam nedostane, pokud nemáš http a nemáš přesměrování. Nic jako, že by prohlížeče automaticky dávaly https není, ne bez pluginu bez předchozího navštívení webu a zapamatování si https z HSTS hlavičky.

[robac]

Nic jako, že by prohlížeče automaticky dávaly https není, ne bez pluginu bez předchozího navštívení webu a zapamatování si https z HSTS hlavičky.

Chrome will automatically upgrade all http:// navigations to https://, even when you click on a link that explicitly declares http://.

[Petr Krčmář]

Nic jako, že by prohlížeče automaticky dávaly https není, ne bez pluginu bez předchozího navštívení webu a zapamatování si https z HSTS hlavičky.

Ale je, Chrome už se tak delší dobu chová a ve Firefoxu je na to přepínač v nastavení. Já ho mám zapnutý, ale netuším, jestli už je to výchozí stav.

Teď jsem si to vyzkoušel tcpdumpem, když jdu na URL bez udání protokolu, prohlížeč se spojuje rovnou na HTTPS. Schválně jsem to zkusil na mnou spravovaném webu, kde není HSTS.

Ovšem pořád podle mě má smysl to přesměrování držet, protože to může mít uživatel vypnuté nebo používá prohlížeč, který to ještě nasazené nemá. Navíc je tu už zmíněný Let's Encrypt a také řádkové utility jako wget nebo curl, které taky samy protokol nemění.

[Reklama]

[pulpe]

Stačí "vysílat" jen na portu 443, hodit to za cloudflare a ten se postará o port 80 a přesměrovaní

[Filip Jirsák]

U webu, který funguje delší dobu, to má smysl minimálně kvůli spoustě odkazů na HTTP, které budou rozeseté po celém internetu. Navíc prohlížeče založené na Chromiu se chovají tak, že nejdřív zkusí HTTPS, když se to nepovede, zkusí HTTP – a to už v adresním řádku zůstane. Takže když je nějaký chvilkový výpadek webu, zůstane uživatel na HTTP verzi adresy. A určitě budou stále existovat uživatelé, kteří to http:// do adresního řádku poctivě píšou.
Navíc je to zadarmo, když používáte dobrý web server. Třeba u Caddy serveru určitě nebudu automatické přesměrování „pracně“ vypínat, když je tam by default.

[Pivson]

Za mne rozhodne 80ku nevyhazovat... Staci problem s certifikatem a novej se neudelas (slepice/vajicko). Ja mam typicky na 80 redirekt, ale .well-known je z pravidel vyjmut. Mnohokrate se vyplatilo Dtto pro nektery API critical veci prez local je lepsi mit bez HTTPS. Napr. se nam rozbilo NTP a nasledky si jiste domyslis. Taky nekdy tuneluju specificky APIny skrze SSH na port 80. O vrstvu min, kde ze muze neco rozbit (kdyz nejde SSH tak je konec

Taktez nekdy nelze overit cerfitikat (z duvodu chybejici CA napr.), protoze  ne vse se da mit na cupr-dupr-latest distribuci. Mam stroje s mnohaletym uptime... A pak je  --no-check-certificate u wgetu je nutnost (nebo rucne udrzovat CA). Kdyz to je v ramci ssh/localu problem neni.

P.

[Filip Jirsák]

Staci problem s certifikatem a novej se neudelas (slepice/vajicko).

Certifikáty se dají protokolem ACME (který používá Let's Encrypt) vystavit i na základě ověření v DNS. Let's Encrypt navíc podporuje i ověření přes TLS (přes rozšíření ALPN), ke kterému certifikát nepotřebujete. A pokud používáte ověření přes protokol HTTP, potřebujete server na portu 80 při každém ověření – tj. problém nebudete mít jen tehdy, když byste měl problém s certifikátem, ale při každé obnově certifikátu.

Nebo-li ani pro vystavení certifikátu od Let's Encrypt nepotřebujete server na portu 80. Pokud budete používat metodu ověření HTTP-01, potřebujete HTTP server na portu 80 při každé obnově certifikátu – ale nemusí to být webserver s vaším webem, klidně to může být dočasný HTTP server jenom pro vystavení certifikátu.

Ale pokud tam provozujete web, doporučuju mít server na tom portu 80 trvale, kvůli uživatelům, kteří se náhodou dostanou na web přes HTTP (viz výše).

[Ħαℓ₸℮ℵ ␏⫢ ⦚]

No ona stačí i bota v konkrétní verzi prohlížeče a taky si https neotevřete. I když v jiném ano.

HTTPS every where v firefoxu  má podstatný rozdíl v chování při volbě tuším nazvané "all sites Eligible Encryption  on", což je to bezpečnější chování, které ale asi není defaultní. To znamená že :
- na port 80 to nikdy nejde bez explicitního potvrzení.
-  A automaticky to taky nahrazuje http za https.
- dialog pro port 80 to nabídne ?jen ? v případech, že na portu 443  to neběží a nebo že na portu 443 je nějaká chyba - takových webů je dost (špatná konfigurace apache, že to vrací 404 a jiné)
-poslední bod právě trochu dělá návštěvu takových webů obtížnější, protože se musí dát vyjímka pro tuto doménu a znovu otevřít s HTTP

* trochu jsem zjednodušil frázi "na portu 443", ale pokud vše běží na portech 80 a 443, tak vlastně je poznámka bezpředmětná

A myslí to tazatel obecně, nebo pro své projekty? taky se tady spojují 2 věci a to ten redirect z 80/HTTP na 443/S a druhá vůbec provozovat po 80/HTTP

Za mě to má smysl (ten redirect, webový server nepošle nikdy obsah stránky ale jen Location:), protože hacker stejně může udělat MITM v variantně HTTPS-HTTPS nebo HTTPS:HTTP. S jedinou vyjímkou, že může dojít k odposlechu domény a User Agenta, ale to první taky omezeně jde i přes odposlech SNI na portu 443.

[Miroslav Maiksnar]

Tym mam na mysli, ci v dnesnej dobe kedy vsetky prehliadace preferuju https ma zmysel mat na porte 80 spusteny server ktory len urobi presmerovanie na https, alebo ci je to uz prezitok a mat http ktore realne nic nerobi len presmeruva je uz zbytocne?

Doporučuju se podívat do access logu webserveru na portu 80. Pokud nebude prázdný, tak není zbytečný 

[Pavel...]

minuly tyzden som si tuto otazku polozil... skusil som do prehliadaca napisat http://..., hodilo mi to error, tak som redirekt nastavil