ISRG celebrates 10 years of helping build a brighter Internet →

המלצה מניסיון - יש להשאיר את פתחה 80 נגישה

עדכון אחרון: | הצגת כל התיעוד

אנו בדרך כלל מקבלים דיווחים מאנשים שמתקשים להשתמש באתגר HTTP-01 כיוון שהם חסמו את הגישה לשרת שלהם בפתחה 80 דרך חומת האש. ההמלצה שלנו היא שכל השרתים שמיועדים לשימוש כללי מול האינטרנט צריכים להציע גם HTTP בפתחה 80 וגם HTTPS בפתחה 443. הם אמורים גם לשלוח הפניות לכל הבקשות לפתחה 80 ואולי אפילו כותרת HSTS (בבקשות לפתחה 443).

פתיחת הגישה לפתחה 80 לא הופכת את השרת שלך ליותר פגיע מבחינת אבטחה, כיוון שהבקשות לפתחה 80 בדרך כלל מטופלות על ידי אותה התכנית שמופעלת על פתחה 443.

סגירת פתחה 80 לא מפחיתה את הסיכון למישהו שבטעות בחר לבקר באתר שלך דרך HTTP. במצב רגיל, אותו מישהו יקבל הפניה ל־HTTPS והתעבורה מאותו רגע ואילך תהיה מוגנת. אם המישהו הזה נתון למתקפת גורם בתווך (MITM), אותו גורם תווך יענה בפתחה 80, לכן לאתר שלך לא תהיה אפשרות לענות לבקשה שכזאת עם „החיבור סורב”.

ודבר אחרון נוסף, להשאיר את פתחה 80 פתוחה כדי לשרת הפניה מסייעת לאנשים להגיע לגרסה הנכונה של האתר שלך (גרסת ה־HTTPS). ישנן מגוון מצבים שאינם בשליטתך שעשויים להביא מבקרים לגרסת ה־HTTP - כמו למשל קישורים אוטומטיים בדוא״ל או הקלדת שם התחום באופן ידני. עדיף שיקבלו הפניה על פני שגיאה.

לרוע המזל, יכול להיות שאין לך שליטה על פתיחת חסימת הפתחה 80 עבור האתר שלך. חלק מספקיות האינטרנט (בעיקר המקומיות) חוסמות את פתחה 80 ממגוון סיבות. אם ספקית האינטרנט שלך עושה זאת אבל עדיין מעניין אותך לקבל אישור מ־Let’s Encrypt, עומדות בפניך שתי אפשרויות: ניתן להשתמש באתגרי DNS-01 או להשתמש ב־אחד מהלקוחות שתומכים באתגרי TLS-ALPN-01 (בפתחה 443).