等保人员说 80 为高危端口,要求关闭 80 端口,说都是 https 用 443 就好,合理吗

就是忽悠你的

好奇下，又关 80 端口又想初次访问也强制 https 的话，是不是只能把域名提交到 HSTS 列表了？

合理

除了国内那几个浏览器默认还是 http ，其他浏览器都是默认 https ，只有 https 不通时才降为 http

@logan66 要做等保的企业，肯定也有 waf 之类的吧，那就吧 80 关了呗，http 跳 https 的功能交给最前端的 waf 之类的去完成。何乐而不为？

你能拒绝等保吗？不能就按他的来吧

@geekvcn 禁用了服务器的 HTTP ，也一样可以劫持 HTTP

他说是就是。做等保是不需要考虑安全性的，有资质的机构说啥就是啥。然后买有资质的 waf ，在那上面用有资质的 80 端口做重定向。

这不是 sb 吗，80 端口做 301 跳转不就得了

如果你不在 HSTS preload 列表里面，用户第一次访问 80 端口可以被劫持到别的网站上去，这是一个安全隐患。如果你没有 HSTS ，那后续访问 80 端口一样有这个风险。

这和有没有 redirect 没有关系，因为劫持在 redirect 前面。

这个风险具体有多大很难说，但是人家提出来了，你是没有办法合理的退回去的。直接照办就是了。

更何况现在没有几个用户是敲域名进网站的。

@zzznow #12 不涉及登录，只展示 没啥问题的

如果你已经做了 80 端口 301 到 443 端口，那就是他们不懂装懂了，如果能喷他们的话，狠狠喷回去

关闭就是了，等保的不懂，都是半桶水，百度还支持 ssl3 呢

做等保的不都是上游要求指定的机构吗??

让你干嘛就干嘛, 别逼逼

如果真要关闭 80 ，可以考虑提交到`HSTS Preload List` 或者 看看 DNS 能不能支持到 SRV/HTTPS 记录。

等保基本上就是按照规定的条款一个一个测试，如果要求了就改吧

@mangojiji 打错了，是 SrvB 记录。

得 443 也别用了，直接自定义端口吧

让你干嘛就干嘛

不是说了吗，让你用 18080 端口来提供服务的。