Порт 80 в системе безопасности веб-сервера

Что касается атак на сервер, открытие порта 80 для HTTP не менее безопасно, чем открытие порта 443 для HTTPS. Если есть ошибка на стороне сервера предоставленного веб-приложения (например, SQL-инъекция или подобное), она может быть использована независимо от HTTP или HTTPS.

Соответствующее различие между HTTP и HTTPS заключается в том, что HTTPS защищает передачу данных между клиентом и сервером. При правильном использовании злоумышленник не получает доступа к переданным данным, не может изменять данные и не может олицетворять исходный сервер, даже если он может быть посредником в соединении между клиентом и сервером.

Чтобы убедиться, что клиент будет использовать защиту, серверу необходимо либо предложить доступ только к HTTPS (т.е. отключить HTTP), либо убедиться, что клиент будет получать доступ к части HTTPS, используя HSTS или перенаправляя каждый HTTP-запрос из клиент на HTTPS. Если провайдер сервера может быть уверен, что клиент всегда будет обращаться к серверу по HTTPS, тогда HTTP можно полностью отключить. К сожалению, на данный момент протоколом по умолчанию в браузерах по-прежнему является HTTP и, следовательно, попытка ввести упрощенный URL-адрес (т.е. example.com вместо того https://example.com) попытается получить доступ к сайту по протоколу HTTP и выдаст сообщение об ошибке (обычно не удобное для пользователя), если порт HTTP отключен. Это основная причина, по которой HTTP должен оставаться активным, то есть перенаправлять пользователей на HTTPS.

Вы можете использовать заголовок ответа HTTP Strict-Transport-Security, который заставляет клиента запрашивать только запросы https. Для получения дополнительной информации см. Это: - HSTS