GNU/Linux >> Linux の 問題 >  >> Linux

2018 年に Google が示した Web セキュリティ イニシアチブ以降、ポート 80 を永久に閉鎖する必要がありますか?

ポート 80 を閉じないでください。代わりに、TLS を使用するために HTTP ポート 80 を HTTPS ポート 443 にリダイレクトするようにサーバーを構成する必要があります。オプションで HSTS (HTTP Strict Transport Security) を使用して、今後サイトに接続するときに TLS のみを使用することをブラウザーに伝えることができます。

ポート 80 が開いていても安全ではありません。セキュリティの問題は、Web サーバーが暗号化されていない接続を介してリクエストを処理している場合にのみ発生します。特に、これらのリクエストに機密データが含まれている場合に発生します。ポート 80 を開いて HTTP リダイレクトのみを送信することは、完全に安全です。


インターネットの主要な検索エンジン (Bing と Yahoo の両方を圧倒) であり、大多数のインターネット ユーザーが使用するブラウザーである Google は、HTTPS を使用しないサイトのページ ランクを下げ、HTTPS を追加することで、HTTPS のみの世界を推進してきました。サイトが そうでない 場合のブラウザ警告 安全。ただし、HTTPS サイトとそうでないサイトの比率はまだ低すぎて、すべての人に HTTPS 優先のポリシーを推奨することはできません。ユーザーは常に恐ろしい「証明書エラー」メッセージや「接続拒否」エラーを受け取るためです。

したがって、Google がブラウザー接続に HTTPS ファーストのポリシーを推奨するまでは、Firefox、Apple、または Microsoft がそのようなポリシーを推奨する可能性は低く、トップ サイトのかなりの過半数 (おそらく 70% 以上) が推奨されるまではありそうにありません。これは、現在 HTTPS を使用しているトップ サイトの約 50% から大幅に増加することになります。

意図的または誤って HTTP サイトにアクセスしたほとんどのユーザーは、「接続が拒否されました」というエラーが表示された場合、別のサイトに移動する可能性があります。ここで具体的な数値を取得する良い方法はありませんが、おそらくインターネット ユーザーの 70 ~ 90% は、自動リダイレクトがなければ、サイトに HTTP ポートがないことを理解できないでしょう。残りのユーザーは、HTTPS の必要性を認識できるほど十分に技術的に有能であるか、どこでも HTTPS を使用していても、いずれにせよ気付かないでしょう。

確実に HSTS を使用し、HTTPS リソースへの 301 リダイレクトを必ず使用し (301 はブラウザーへの永続的な移行を示しているため、ブラウザーはこの設定を「記憶」します)、南京錠が表示されていることを確認し、証明書を確認するようユーザーにアドバイスします。この時点でポート 80 をブロックします。これは、インターネットがまだ準備が整っていないためです。

私の知る限り、HTTP およびを無効にしている主要なサイトはありません。 ポート 80 をブロックします。これを行うと、(サイトが安全なサイトに転送するという) ユーザーの期待を裏切ることになります。エラー メッセージが表示された場合は、単にサイトが壊れていると見なして先に進みます。


要するに:通常、開いたままにして、すべてをリダイレクトするために使用します HTTPS へ。

複雑なことに移ります :ポート 80 を削除すると、ストラグル http://corp.com/some/forgotten/thing を受動的に探す Cookie 泥棒を阻止できます リクエスト。 TCP 接続は成功せず、ブラウザは GET と Cookie を送信せず、悪意のある人物はそれらを読み取ることができません。

特に企業環境を考えると、これは保護するのが合理的な場合があります:レガシーアプリ、部分的にしか実装されていない HSTS、安全なフラグまたはパスまたはホスト制限が欠けている可能性のある Cookie、ホストまたはプロキシされたサードパーティ、...

さて、あなた それをブロックしますか?おそらく違います。

他の人が言及したように、それは Let's Encrypt の設定を複雑にし、リダイレクトを防ぎます (your.com と入力するだけのユーザーを含む) アドレスバーにあります)。ドメイン全体の HSTS を設定している場合、リダイレクトを削除することは逆効果と見なされることさえあります (危険を冒すこともできます 1 プレーンな HTTP 接続なので、すべて を保護します 将来のもの)

また、アクティブな攻撃者は阻止されないことに注意してください (彼らは人為的に接続を完全にすることができます。MITM プロキシ ツールはデフォルトでこれを行うことさえあります)。コーナー ケース (プレーンな HTTP プロキシ、ファイアウォールの外側に委任されたドメイン) があり、あなたのモデルにはパッシブ攻撃が複雑すぎると考えてください。

最後に、追加する必要があります 新しいサーバーにポート 80 を追加しますか? まあ、それを開く理由がすでにない限り (上記参照)、いいえ。


Linux

  1. LinuxでFirewalld、IPテーブル、UFWを使用してポートとIPアドレスを許可またはブロックするにはどうすればよいですか?

  2. CentOSとRedHatのSSHポートを変更する

  3. Linux USB:電源をオン/オフしますか?

  1. Linux サーバーのデフォルトの SSH ポートを変更する必要がありますか?

  2. 8G RAM と SSD - スワップの大きさはどれくらいですか?

  3. サブドメインを同じサーバーの別のポートにリダイレクトするにはどうすればよいですか?

  1. Linuxターミナルでディレクトリを開いたり閉じたりする方法

  2. Linuxカーネルとは何ですか?最新のカーネルにアップグレードする必要がありますか?

  3. Linuxコマンド:duと使用する必要のあるオプション