Fizemos alguns grandes passos em nossa transição para uma web segura, mas uma coisa que eu frequentemente questionado sobre está fechando a porta 80 como parte dessa transição. Aqui estão os meus pensamentos sobre por que não devemos fazer isso.
Nossos esforços atuais
Como uma indústria que fizemos algum progresso verdadeiramente notável da transição para uma web criptografado. Recentemente, detalhou um monte de razões que você deseja mover para HTTPS que não têm nada a ver com os benefícios de segurança ou privacidade reais. Você pode ler aqueles em meu artigo Ainda acho que você não precisa HTTPS? . Estas razões, juntamente com muitos outros estão dando locais a motivação para mudar para HTTPS por incentivar a adopção. Isso é um lado do esforço, levar as pessoas a querer usar HTTPS, e do outro lado está a reduzir as barreiras à entrada. É aí Vamos Criptografar entrou, o CA livre emissão de certificados para qualquer um que os quer. Certs livres removida a barreira do custo e seu ferramental automatizado reduziu consideravelmente as despesas gerais técnicas e manutenção de implantações HTTPS. Eu tenho um blog sobre Introdução ao Vamos Criptografar! e se você quiser fazer a transição si mesmo, você deve verificá-la. É tudo de bom e bem dizendo essas coisas estão realmente ajudando, mas o que precisamos é evidência para apoiar a reivindicação.
Nosso progresso até agora
Recentemente, publicou uma pesquisa que mostrou não só é a adoção de HTTPS continuadas, a taxa a que estamos nos movendo para HTTPS está a aumentar muito rapidamente também. Você pode ver a pesquisa aqui , mas o ponto chave era este gráfico que mostra o uso de HTTPS no top 1 milhão de sites na web.
Mas você não tem que tomar minha palavra para ela, há uma abundância de outras evidências que apoia esta reivindicação. Mozilla telemetria mostrou que nós finalmente pesou na balança com a forma como muitas cargas de página ocorrer sobre HTTP vs HTTPS. No navegador Firefox mais de 50% das cargas da página agora ter lugar através de HTTPS!
Yesterday, for the first time, telemetry shows more than 50% of page loads were encrypted with HTTPS.
Aperfeiçoar sua implantação
Para mim, para finalizar qualquer implantação de HTTPS existem 2 coisas que você precisa fazer. Primeiro, você precisa estar usando HSTS , um cabeçalho de resposta HTTP que informa ao navegador o seu site só espera que usem HTTPS a partir de agora, a remoção do padrão HTTP. Usando HSTS remove esse padrão inseguro e também reduz um ataque de entrada mais dura, isso é possível como resultado da mesma. A segunda coisa é HSTS pré-carregamento que vem depois que você configurar e HSTS testados. Isso permite que você tenha o seu domínio realmente escrito no código-fonte de todos os navegadores mainstream como HTTPS somente, fornecendo uma camada adicional de proteção sobre HSTS sozinho. Se você quer uma referência rápida para mais infomation em tudo HSTS relacionadas, anote minhas HSTS Cheat Sheet . HSTS e pré-carga são grandes, mas eu acho que este é o lugar onde a idéia de fechar a porta 80 começa a entrar em jogo.
Será que precisamos de porta 80?
A sugestão é geralmente que uma vez que um site está usando HSTS o navegador sabe como padrão para HTTPS indo para a frente. Especialmente com o pré-carregamento, quando o site é codificado no navegador, parece ter a porta 80 aberta é redundante e simplesmente oferecer comunicações sobre o que será sem dúvida um protocolo inseguro, HTTP. O problema é que fechar a porta 80 nos deixaria em pior situação de várias maneiras.
Perderíamos redirecionamentos
Uma das principais razões para manter a porta 80 aberta é continuar a redirecionar o tráfego de HTTP para HTTPS. Mesmo com HSTS e pré-carregamento ainda existem várias razões que não podemos confiar neles. Para começar, o navegador do outro lado pode não implementar a lista de pré-carga, isso significa que ainda será o padrão para HTTP na porta 80 e perder um redirecionamento. Não podemos nem mesmo ter certeza de que o que está na outra extremidade é um navegador, é moderno ou até à data. Ele poderia ter uma versão mais antiga da lista de pré-carga que não inclua o seu domínio. Temos que manter a porta 80 aberta para redirecionar todo o tráfego que possam tentar se conectar lá em primeiro lugar, por qualquer razão que seja.
Ele não nos faz mais seguro
Outra razão que é frequentemente mencionado é que, se fechar a porta 80, em seguida, nenhuma comunicação pode acontecer através do protocolo HTTP inseguro e nenhum homem no meio ataques podem ocorrer como resultado. Infelizmente, isso simplesmente não é o caso. Se fecharmos a porta 80 não pára o cliente tentando fazer a sua conexão inicial lá e é aí que reside o problema. Se vamos ou não como o anfitrião tem a porta 80 aberta, um atacante ainda pode passar por nós e responder a consulta inicial do cliente, que nem sequer precisa para chegar até nós. Agora, mantendo a porta 80 aberta não resolve diretamente isso, mas, se pudermos pegar o cliente em um pedido anterior e redirecioná-los para a porta 443 com HTTPS e obter uma política HSTS mais, podemos evitá-los usando a porta 80 novamente no futuro. Na pior das hipóteses eles poderia vir a armazenar em cache a 301 de HTTP para HTTPS por algum tempo e, pelo menos, obter alguma proteção adicional.
Esta é a grande verdade. Até navegadores mudar seu comportamento padrão do uso de HTTP como o protocolo padrão há pouco que podemos, ou deve, fazer em termos de fechar a porta 80. Ambos Firefox e Chrome têm mostrado que HTTPS está rapidamente se tornando o protocolo padrão na maioria das cargas da página, mas temo que não significa que estamos tão perto de HTTPS, por padrão, como eu gostaria que sejamos. Sites como mídia social, comercial e bancário, provavelmente, tornar-se uma enorme quantidade de cargas da página em comparação com outras categorias de sites e eu imagino que eles estão desviando os resultados por algum montante. Nós definitivamente não estão perto de ter 50% dos sites lá fora, usando HTTPS. Até a maioria dos sites se beneficiariam com HTTPS como o protocolo padrão e um retorno para HTTP para os outros, não veremos uma mudança para HTTPS por padrão.
Mantenha 80 aberta
Para o futuro próximo o melhor curso de ação é manter a porta 80 aberta, responde com redirecionamentos 301 para movimentar o tráfego para HTTPS, servir uma política e HSTS HSTS forte pré-carregar o seu domínio. Na actual situação deste é o melhor que podemos fazer até que algo muda.
Comentários
Postar um comentário