Anda tidak boleh menutup port 80. Sebagai gantinya, Anda harus mengonfigurasi server Anda untuk mengalihkan port HTTP 80 ke port HTTPS 443 untuk menggunakan TLS. Secara opsional, Anda dapat menggunakan HSTS (HTTP Strict Transport Security) untuk memberi tahu browser agar ingat untuk hanya menggunakan TLS saat menyambung ke situs Anda di masa mendatang.
Tidak ada yang tidak aman tentang port 80 yang terbuka. Masalah keamanan hanya terjadi saat server web melayani permintaan melalui koneksi yang tidak terenkripsi, terutama jika permintaan tersebut berisi data sensitif. Memiliki port 80 terbuka dan mengirim tidak lebih dari pengalihan HTTP sangat aman.
Google, mesin pencari utama Internet (mengerdilkan Bing dan Yahoo), dan browser yang digunakan oleh sebagian besar pengguna Internet, telah mendorong dunia khusus HTTPS dengan menurunkan peringkat halaman untuk situs yang tidak menggunakan HTTPS, dan menambahkan peringatan browser saat situs tidak aman. Namun, rasio situs HTTPS untuk tidak masih terlalu rendah untuk merekomendasikan kebijakan yang mengutamakan HTTPS bagi semua orang, karena pengguna akan selalu mendapatkan pesan "kesalahan sertifikat" yang menakutkan atau kesalahan "koneksi ditolak".
Jadi, sampai Google merekomendasikan kebijakan HTTPS-first untuk koneksi browser, tidak mungkin Firefox, Apple, atau Microsoft akan merekomendasikan kebijakan semacam itu, dan itu tidak mungkin sampai mayoritas yang layak (mungkin 70% atau lebih) dari situs teratas. apakah HTTPS diaktifkan, yang akan menjadi peningkatan besar dari ~50% situs teratas yang memiliki HTTPS saat ini.
Sebagian besar pengguna yang secara sengaja atau tidak sengaja mengunjungi situs HTTP Anda, jika disambut dengan kesalahan "koneksi ditolak", kemungkinan besar akan pindah ke situs lain. Saya tidak memiliki cara yang baik untuk mendapatkan angka konkret di sini, tetapi kemungkinan besar 70-90% pengguna Internet mungkin tidak akan mengetahui bahwa situs tersebut tidak memiliki port HTTP tanpa pengalihan otomatis; sisanya mungkin cukup kompeten secara teknis untuk menyadari bahwa mereka membutuhkan HTTPS, atau menggunakan HTTPS Everywhere, dan bagaimanapun juga tidak akan menyadarinya.
Pasti menggunakan HSTS, pasti 301 redirect ke sumber daya HTTPS (301 menunjukkan perpindahan permanen ke browser, sehingga mereka akan "mengingat" preferensi ini), pasti menyarankan pengguna Anda untuk memastikan mereka melihat gembok dan memverifikasi sertifikat, dll. Jangan blokir port 80 pada saat ini, karena Internet belum siap untuk ini.
Sejauh yang saya tahu, tidak ada situs utama yang menonaktifkan HTTP dan memblokir port 80. Jika Anda melakukan ini, Anda akan melanggar harapan pengguna (bahwa situs tersebut akan meneruskan Anda ke situs yang aman), dan karena sebagian besar pengguna tidak akan tahu apa yang harus dilakukan di sini, karena mereka tidak akan mendapatkan ramah pesan kesalahan, hanya akan menganggap situs Anda rusak dan melanjutkan.
Singkatnya:BIASANYA, tetap buka dan gunakan untuk mengalihkan semuanya ke HTTPS.
Sekarang ke hal-hal rumit :menghapus port 80 dapat menghentikan pencuri cookie yang secara pasif mencari straggle http://corp.com/some/forgotten/thing permintaan. Koneksi TCP tidak berhasil, browser tidak mengirimkan GET dan cookie, dan penjahat tidak dapat membacanya.
Terkadang ini adalah hal yang wajar untuk dilindungi, terutama memikirkan lingkungan perusahaan:aplikasi lama, HSTS hanya diterapkan sebagian, cookie yang mungkin tidak memiliki flag atau jalur aman atau batasan host, dihosting atau diproksi oleh pihak ketiga, ...
Sekarang, sebaiknya Anda memblokirnya? Mungkin tidak.
Seperti yang disebutkan orang lain, itu akan mempersulit penyiapan Let's Encrypt dan mencegah pengalihan (termasuk pengguna yang hanya mengetik your.com di bilah alamat). Jika Anda telah menyetel HSTS di seluruh domain, menghapus pengalihan bahkan dapat dianggap kontraproduktif (Anda mungkin ingin mengambil risiko satu koneksi HTTP biasa sehingga akan melindungi semua yang akan datang).
Juga, perhatikan bahwa penyerang aktif tidak akan dihentikan (mereka dapat membuat koneksi selesai secara artifisial, alat proksi MITM bahkan dapat melakukan ini secara default), ada kasus sudut (proksi HTTP biasa, domain yang didelegasikan di luar firewall Anda), dan Anda mungkin saja anggap serangan pasif terlalu rumit untuk model Anda.
Akhirnya, sebaiknya Anda menambahkan port 80 ke server baru? Ya, kecuali Anda sudah memiliki alasan untuk membukanya (lihat di atas), tidak.