等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

开 HTTPS 不禁用 HTTP 等于没开，想想你用户访问 HTTP 的时候就被劫持了，还能到跳转那步吗？所以现代主流浏览器都是先访问 HTTPS 不行再回退 443

@geekvcn 回退 80 ，说错了

你都做等保了，
肯定是说啥是啥啦，先整改再说吧

同样,最近在过 ISO27001:2022, ACL 开了 any - any 80/443, 也被揪出来了.

最新版 chrome (網址列)預設 HTTPS , 是你理解錯了.

80 端口走 http ，当然数据不够可信，说成是高危端口其实也不为过，但一般会选择自动从 http 跳转 https ，这种跳转有的是用开着端口配置 web 服务跳转的，这种方式关闭就等同于 http 自动跳转 https 不可用了

等等？等保人员说的是：业务跑在 80 端口上吧，没有强制使用 https 。
别混淆概念了。
80 强制跳转 443 ，443 开启 HSTS ，应该没问题。

现在都是 80 端口开 http 服务，然后全部 301 重定向到 https 页面

你不开，如果浏览器有自动升级 https 还好，没有的话用户打开就是不能访问

@jonzhao outbound, 访问外网 80 口.

ssl 443 端口添加：
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
这样就没问题了。

我们这边 nginx 做了 80 http 强制跳转 443 https 的,还是要求关 80 端口

80 代表着没有用 https ，那么登录的密码什么的就都是明码传送的。即使抛开这样的漏洞不说，没有证书，也容易让人制造假的网站而无法验证。
所以现在的大趋势是尽可能使用 https 加证书，至少登录画面等有机密信息的部分要得是 https 的吧。

等保人员说 root 不行，得改名。

俩人都挺水的

等级保护那帮人基本就是行业挑剩下的人吧，懂点技术，但又不怎么懂技术

http 明文不 SSL ，容易被窃听，但是等级保护关注的难道不是攻击么？
浏览器默认都 https ；默认 http 的时代已经过去了

难道以为雇用了登保测评机构，自己就是甲方了？

这样 https://xxxx.xxxx:80 就安全多了

让你改你就改嘛，国家标准； 跟老板说，可以让老板决定不改，就扣分嘛
@logan66

开车很危险，都步行去吧

不合理的事情多了去了，改吧

@julyclyde “等级保护关注的难道不是攻击么”

“等保”，不仅关注攻击，还要关注数据安全。