等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

把域名提交到 HSTS 列表呗

chrome 默认会跳 https 吧

有 HSTS.当然有些浏览器会帮你先尝试 hhtps 不行再自动回退 http.
当然 80 危不危取决于你在上面跑的什么.网站的话没 ssl 是挺危

合理

现代浏览器应该是默认 https

要不怎么说是外包的狂欢节呢

高危端口意思就是容易被扫。https 就用 443 没毛病。

普通用户不会输入网址的，会百度搜索的都应该叫资深用户了（逃

80 端口 http 个人认为还是有用的，应该做 301 跳转引导用户转向到 https 站点，至于你们这边行业内的情况，我个人不了解，也无法给出建议

有 HTTPS (443) 的情况下，说 80 端口是高危端口没毛病。

改了吧，没必要去争这个事儿。如果以后有人问起为什么一定要输入 https ，你就告诉他等保规定就可以了。虽然直接输入地址很多浏览器默认就是 https

禁用了 80 端口，只能在服务器上自己弄 HTTPS 证书了。

有些服务商，如 cloudflare 直接给你域名 HTTPS ，不需要自己弄，监听 80 就行。

个人认为 80 不算高危端口，取决于网站提供的服务。http 是因为明文传输，所以不安全。

“高危端口” 没有个金标准的说法其实，一般“高危端口”是指一些服务的默认端口，开放到大范围的网络上容易招致大量扫描和无差异攻击的，比如 22 3306 ；

他让你改这个也算合理的，现在不应该用 http 了，毕竟那个通信是明文，不要纠结说法了

等保很烦，但是这个没得说，你怕用户不会输，做个重定向

等保一般不都是 tob 业务吗？这种业务不就是领导说啥是啥么，他说 80 高危你给关了就行，至于用户体验又不重要。

等保是什么岗位？

端口不是高危, 但是跑在这个端口的服务可能高危. 你能用 80, 说明大概率没上 tls...我不信有人搞了 https 还特地用 80 端口.

搞个证书这也没多大的成本吧, 没必要偷懒成这样, 尤其你们这种业务, 等保的来找你了, 肯定是存了用户信息这种敏感数据, 不然人家才懒得理你.

@dyllen 要求涉敏业务的公司/团队做信息安全防护的.

禁了 80 跳转都调不了，用户打开你网址很有可能直接卡主打不开了。

高危端口是这个标准吗

开 HTTPS 不禁用 HTTP 等于没开，想想你用户访问 HTTP 的时候就被劫持了，还能到跳转那步吗？所以现代主流浏览器都是先访问 HTTPS 不行再回退 443

@geekvcn 回退 80 ，说错了

你都做等保了，
肯定是说啥是啥啦，先整改再说吧

同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.

最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.

80 端口走 http ，当然数据不够可信，说成是高危端口其实也不为过，但一般会选择自动从 http 跳转 https ，这种跳转有的是用开着端口配置 web 服务跳转的，这种方式关闭就等同于 http 自动跳转 https 不可用了

等等？等保人员说的是：业务跑在 80 端口上吧，没有强制使用 https 。
别混淆概念了。
80 强制跳转 443 ，443 开启 HSTS ，应该没问题。

现在都是 80 端口开 http 服务，然后全部 301 重定向到 https 页面

你不开，如果浏览器有自动升级 https 还好，没有的话用户打开就是不能访问

@jonzhao outbound, 访问外网 80 口.

ssl 443 端口添加：
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
这样就没问题了。

我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口

80 代表着没有用 https ，那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说，没有证书，也容易让人制造假的网站而无法验证。
所以现在的大趋势是尽可能使用 https 加证书，至少登录画面等有机密信息的部分要得是 https 的吧。

等保人员说 root 不行，得改名。

俩人都挺水的

等级保护那帮人基本就是行业挑剩下的人吧，懂点技术，但又不怎么懂技术

http 明文不 SSL ，容易被窃听，但是等级保护关注的难道不是攻击么？
浏览器默认都 https ；默认 http 的时代已经过去了

难道以为雇用了登保测评机构，自己就是甲方了？

这样 https://xxxx.xxxx:80 就安全多了

让你改你就改嘛，国家标准； 跟老板说，可以让老板决定不改，就扣分嘛
@logan66

开车很危险，都步行去吧

不合理的事情多了去了，改吧

@julyclyde “等级保护关注的难道不是攻击么”

“等保”，不仅关注攻击，还要关注数据安全。

就是忽悠你的

好奇下，又关 80 端口又想初次访问也强制 https 的话，是不是只能把域名提交到 HSTS 列表了？

合理

除了国内那几个浏览器默认还是 http ，其他浏览器都是默认 https ，只有 https 不通时才降为 http

@logan66 要做等保的企业，肯定也有 waf 之类的吧，那就吧 80 关了呗，http 跳 https 的功能交给最前端的 waf 之类的去完成。何乐而不为？

你能拒绝等保吗？不能就按他的来吧

@geekvcn 禁用了服务器的 HTTP ，也一样可以劫持 HTTP

他说是就是。做等保是不需要考虑安全性的，有资质的机构说啥就是啥。然后买有资质的 waf ，在那上面用有资质的 80 端口做重定向。

这不是 sb 吗，80 端口做 301 跳转不就得了

如果你不在 HSTS preload 列表里面，用户第一次访问 80 端口可以被劫持到别的网站上去，这是一个安全隐患。如果你没有 HSTS ，那后续访问 80 端口一样有这个风险。

这和有没有 redirect 没有关系，因为劫持在 redirect 前面。

这个风险具体有多大很难说，但是人家提出来了，你是没有办法合理的退回去的。直接照办就是了。

更何况现在没有几个用户是敲域名进网站的。

@zzznow #12 不涉及登录，只展示 没啥问题的

如果你已经做了 80 端口 301 到 443 端口，那就是他们不懂装懂了，如果能喷他们的话，狠狠喷回去

关闭就是了，等保的不懂，都是半桶水，百度还支持 ssl3 呢

做等保的不都是上游要求指定的机构吗??

让你干嘛就干嘛, 别逼逼

如果真要关闭 80 ，可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。

等保基本上就是按照规定的条款一个一个测试，如果要求了就改吧

@mangojiji 打错了，是 SrvB 记录。

得 443 也别用了，直接自定义端口吧

让你干嘛就干嘛

不是说了吗，让你用 18080 端口来提供服务的。

我建议不启用任何端口

普通人输网址顶多从 www 开始，没有人会直接输 http:// 的，所以如果有 https 了关闭 80 端口是合理的，反正也没用

合理

瞎扯，普通用户根本不会输入网址，只会从微信或者其他地方复制链接，保存书签。

在座说高危的老哥，想必都看不上这些公司吧？

端口和高危不高危有啥关系? 如果 80 端口高危的话，那我用嘴呼吸也是高危咯?

macbook ~ % curl -s -I http://baidu.com | grep HTTP
HTTP/1.1 200 OK
macbook ~ % curl -s -I http://jd.com | grep HTTP
HTTP/1.1 301 Moved Permanently
macbook ~ % curl -s -I http://taobao.com | grep HTTP
HTTP/1.1 301 Moved Permanently
X-protocol: HTTP/1.1
macbook ~ % curl -s -I http://qq.com | grep HTTP
HTTP/1.1 302 Moved Temporarily
macbook ~ % curl -s -I http://weibo.com | grep HTTP
HTTP/1.1 301 Moved Permanently
macbook:~ curl -s -I http://google.com | grep HTTP
HTTP/1.1 301 Moved Permanently
macbook:~ curl -s -I http://apple.com | grep HTTP
HTTP/1.1 301 Redirect
macbook:~ curl -s -I http://www.amazon.com | grep HTTP
HTTP/1.1 301 Moved Permanently
macbook:~ curl -s -I http://www.facebook.com | grep HTTP
HTTP/1.1 301 Moved Permanently
macbook:~ curl -s -I http://www.microsoft.com | grep HTTP
HTTP/1.1 200 OK

@yyzh HSTS 不会回退，是直接无法打开网页

@zzznow 我也觉得，80 不安全是对于传输内容而言，不是服务器安全

Chrome 将为所有用户默认启用 HTTPS-first
https://www.oschina.net/news/254271/chrome-to-enable-https-first-by-default

return 301 https://xx.com/$request_uri 不就行了吗...

都没说到点子上。
等保让你干啥你就干啥。不需要过脑子。

@Podul 戳啦！ 443 端口更安全 http://example.com:443

非常合理

别说是 80 了，我们之前遇到一家等保，连 443 都列为高危端口，最后改成了 https://xxx.cn:4433/ （具体多少忘了，反正是 4 位数的）

那假如我在 80 端口开 ssl ，443 端口跑明文咋说呢？

懒政说法，高危的是明文传输，不是端口。一棒子打死 80 端口

我们等保前端容器都要加防篡改

@Wien 443 一样被扫

同意上面的等保让干啥就干啥。但测评的人水平确实很一般，关注互联网上 80 端口更多的原因是传输未加密，存在被窃取风险，但是也得看看网站具体啥内容呢，上来就说 80 端口是高危端口不是耍流氓么

人家虽然不专业, 但是人家掌握标准的定义 doge

那个，政府的说 443 也是高危端口不给开，最后开了个 5443🐶

按理说都早该上 ipv6 quic http/2 了，443 都上个世纪的事了，80 太老了，让关也算没有太不正常吧……

@Wien 小肚皮？

nginx 80 改成 443 万事儿.
用户这样访问 http://a.b:443
反正他说 443 安全😂

zf 项目，把 443 和 80 都关了。。

你好善良 ，和等保人员有什么好争执的

在等保里边，无论二级三级系统，在公网（不可控网络环境）提供系统管理服务，使用 HTTP （明文传输）就是高风险，无法给你降风险的，直接就是不过，结果为差；你这已经使用 https ，80 端口仅提供个跳转，他们说是多余端口那就是呗，该关就关

让你关你就关, 这种事情他们来了让怎么搞就怎么搞, 事情做过去就行了. 没让你改 root 用户名就不错了...

等保这种东西, 你不要去考虑合理还是不合理; 因为不管是否合理, 你要过等保肯定是 “带有强制性或者说刚需的”, 他不让你过的话, 你合理不合理都没意义.

如果说你知道一些安全实践或者说你作为一个 IT 从业者知道有一些东西应该怎么做, 而且能确认并控制风险, 再不济就是等完事了自己改回来就是了.

你就想国密改造, 让你们企业买设备、搞加密, 最后用户浏览器都要收费才能支持, 你想想合理么? 但是文发出来, 你们公司想在这行混那就得弄, 你就是买个加密记放机房吃灰你也得上, 合理不合理不是你说的算的.

他说的高危是对谁而言？对公司而言那不对，对用户而言那是对的。

钱没给到位啊，配合检查，走了再开。

虽然但是啊，既然是等保要求，那就关闭 80 端口吧，80 端口有非开不可的理由吗？
安全的话还是那个道理，做了可能没啥用，但是出事的时候可能就是你裤裆里的黄泥。除非你们 KPI 跟开端口的数量挂钩。