Порт 80 на веб-сервере безопасности

Что касается атак на сервер, то наличие открытого для HTTP порта 80 не менее безопасно, чем наличие открытого для HTTPS порта 443. В случае обнаружения ошибки на серверной стороне предоставляемого веб-приложения (т.е. SQL инъекция или аналогичное), она может быть использована независимо от того, HTTP или HTTPS.

Соответствующее различие между HTTP и HTTPS заключается в том, что HTTPS защищает передачу данных между клиентом и сервером. При правильном использовании злоумышленник не получает доступ к передаваемым данным, не может модифицировать данные и не может выдать себя за оригинальный сервер, даже если он может быть человеком посередине в связи между клиентом и сервером.

Чтобы убедиться, что клиент воспользуется защитой, серверу необходимо либо предоставить доступ только к HTTPS (т.е. отключить HTTP), либо убедиться, что клиент получит доступ к части HTTPS, используя HSTS, либо перенаправляя каждый HTTP-запрос от клиента на HTTPS. Если провайдер сервера может быть уверен, что клиент всегда будет иметь доступ к серверу по HTTPS, то HTTP можно отключить полностью. К сожалению, на данный момент протоколом по умолчанию в браузерах все еще является HTTP и поэтому попытка ввести упрощенный URL (т.е. example.com вместо https://example.com) попытается получить доступ к сайту с помощью HTTP и в случае отключения порта HTTP выдаст сообщение об ошибке (обычно неудобное для пользователя). Это основная причина, по которой HTTP должен оставаться активным, т.е. перенаправлять пользователей на HTTPS.

Можно использовать заголовок ответа HTTP Strict-Transport-Security, который заставляет клиента запрашивать только https запросы. Для более подробной информации смотрите это:- HSTS