ISRG celebrates 10 years of helping build a brighter Internet →

Найкраща практика - залишити порт 80 відкритим

Останнє оновлення: | Переглянути всю документацію

Час від часу ми отримуємо повідомлення від людей про проблеми з використанням типу перевірки HTTP-01, тому що вони відключили порт 80 від свого веб-сервера. Наша рекомендація полягає в тому, що всі сервери призначені для загального веб використання повинні працювати як з HTTP для порту 80, так і з HTTPS на порту 443. Вони повинні переадресовувати всі запити на порт 80 і, при можливості, HSTS заголовки (для запитів на порт 443).

Відкритий порт 80 не збільшує площу атаки на вашому сервері, оскільки запити на порт 80 зазвичай обслуговуються тим же програмним забезпеченням, яке працює з портом 443.

Закриття порту 80 не зменшує ризик для людини, яка випадково відвідує ваш веб-сайт через HTTP. За звичайних обставин ця людина отримує переадресацію на HTTPS, а наступний трафік буде захищений. Якби ця людина підпорядковувалася активному MITM, MITM відповідав би на порту 80, тому у Вашого сайту ніколи не було б можливості відповісти “відмовлено в підключенні”

Нарешті, збереження порту 80 відкритим для перенаправлення допомагає людям перейти на правильну версію вашого сайту (HTTPS-версію). Існують різні ситуації поза вашим контролем, які можуть ненадовго привести когось до HTTP-версії вашого сайту, наприклад, автоматична прив’язка в електронних листах або введення доменного імені вручну. Їм краще отримати переадресацію, ніж помилку.

На жаль, ви можете не контролювати, чи блокується порт для вашого сайту. Деякі (в основному житлові) Інтернет-провайдери блокують порт 80 з різних причин. Якщо ваш провайдер робить це, але ви все так само хочете отримати сертифікати від Let’s Encrypt, у вас є два варіанти: ви можете використовувати виклики DNS - 01 або ви можете використовувати послугу одного з клієнтів, який підтримує виклики TLS-ALPN-01 (на порту 443).