Коммерческий сертификат SSL и самоподписанный сертификат для аутентификации
Нет вызывающе нет. На самом деле порт 80 является, вероятно, самым опасным портом, который можно открыть в современной системе. Также наличие https://(tcp 443) означает, что весь Ваш идентификатор сессии пропускается. Не использование https является четким нарушением A3: "Поврежденное управление аутентификацией и управление сеансами" в лучших 10 OWASP на 2010.
Хорошая вещь, которую можно сделать для защиты Вашего сам, состоит в том, чтобы выполнить Веб-приложение брандмауэр (WAF) как Mod_Secuirty. WAF, совсем другое от "брандмауэра фильтра пакетов" как iptables.
Я также рекомендую выполнить сканирование уязвимости против Вашей системы, такой как Acunetix или вапити. Удостоверьтесь, что Ваша система регулярно обновляется: yum upgrade. Выполните PhpSecInfo и настройте Ваш php.ini, таким образом, что никакой КРАСНЫЙ не появляется. Конфигурация PHP по умолчанию ужасно небезопасна, она поправилась (отключение удаленного файла включает и register_globals по умолчанию), но его все еще действительно плохой.
Возможно, вы используете дистрибутив apache, в который были перенесены обходные пути повторного согласования. Можно быстро попробовать добавить директиву SSLInsecureRenegotiation off . Если это не сработает, измените директиву SSLVerifyClient на Необязательный .
Это откроет сервер до уязвимостей повторного согласования TLS для этого местоположения каталога, но вас мало можете делать это до тех пор, пока Debian не обновит свой дистрибутив (или пока вы не скомпилируете собственный дистрибутив).