É mais seguro fechar a porta 80 para o IIS?

Existe um argumento de que, ocasionalmente, a desativação da porta 80 protege contra erros criados pelo seu desenvolvedor da Web. Quem pode ter, de forma unitária, um formulário com dados que precisam ser seguros para o site http em vez do site https. Se a porta 80 estiver fechada, o handshake tcp falhará e nenhum dado será enviado de forma insegura. Se a porta 80 não estiver fechada e o navegador do usuário estiver mal configurado, os dados seguros poderão ser enviados de forma insegura.

Existe um ataque chamado remoção de SSL . essa ferramenta de ataque pode observar redirecionamentos de http para https e, em seguida, ajustar o redirecionamento enviado por http para apontar para o proxy de uma maneira que manterá o tráfego não criptografado em um MITM.

Veja também:

• link
• link
• Regra - REMOVIDO - Não execute redirecionamentos da página não TLS para a página de login TLS

Não, ter a porta 80 aberta não é insegura.

Ter dados confidenciais transmitidos na porta 80, no entanto, é muito inseguro. Qual é provavelmente a linha de pensamento do seu administrador de rede.

Forçar os usuários a digitar manualmente https no endereço do servidor é algo que a maior parte da web abandonou nos últimos anos. Não há necessidade de tratar seus usuários como especialistas em TI quando é fácil redirecioná-los.

Estamos usando dois sites virtuais diferentes no nosso IIS. Um que escuta na porta 80 com um diretório virtual em branco, onde a única coisa definida é o "Redirecionamento de HTTP" do IIS que aponta para nosso outro host virtual, que executa somente https, como o seu administrador configurou. Isso funciona excelente.