В настоящее время находится в процессе создания нового персонального сервера. Я читал о HSTS (thanks EFF!), а также шаги для реализации на Nginx (например: here).Как перенаправить перенаправление портов для HSTS
То, что я не видел четко излагаю, - это то, как обращаться с первоначальной перенаправлением. Предоставлять ли я некоторое статическое содержимое ошибок на порту 80, перенаправление на фактический сайт на HTTPS?
Многое из того, что я читал до сих пор, говорит о том, что использование HTTP-протокола делает your site vulnerable атаками MITM. Другие seem to suggest, что до тех пор, пока у вас установлен флажок «Безопасный флаг» для всех созданных вами файлов cookie, вы в порядке. Конечно, плебей, что я, я не на preloaded HSTS site list, так что это не так.
В чем заключена сделка? Должен ли я обслуживать порт 80 и перенаправлять для удобства посетителей сайта, или я подвергаю их атаке?
Полное раскрытие информации: Незаконный доступ к торговле и незащищенный контент, просто голодный ум с возможностью обучения.
Используйте модуль перезаписи, чтобы заставить https на входящие HTTP-запросы и не обрабатывать HTTP-запрос. Для безопасности вашего сервера https не имеет к этому никакого отношения. HTTPS просто шифрует и обеспечивает передачу данных между вашим сервером и посетителями. Если у вас есть конфиденциальные данные для отправки/получения от/к посетителям, то да, https является обязательным/критическим, иначе я бы сказал, что https не является обязательным. –
@ 72DFBF5BA0DF5BE9 Да, это определенно необязательно в моем случае. Но у меня есть сертификат SSL, подтверждающий мой хозяин, и я хочу немного размять свой разум. – ReservedDeveloper