上次更新: | 查看所有文件
我們偶爾會收到使用者回報,他們在使用 HTTP-01 挑戰類型時遇到問題,因為他們已將 Port 80 防火牆封鎖在其 Web 伺服器上。我們的建議是,所有用於一般網路用途的伺服器都應提供 Port 80 上的 HTTP 和 Port 443 上的 HTTPS。它們也應針對所有 Port 80 的請求發送重新導向,並可能發送 HSTS 標頭 (在 Port 443 請求上)。
允許 Port 80 不會增加您伺服器上的攻擊面,因為 Port 80 上的請求通常由與 Port 443 上相同的軟體提供服務。
關閉 Port 80 並不會降低意外透過 HTTP 訪問您網站的人的風險。在正常情況下,該人會收到重新導向至 HTTPS,並且其後續流量將受到保護。如果該人受到主動式 MITM 攻擊,MITM 將在 Port 80 上做出回應,因此您的網站永遠不會有機會回應「連線遭拒」。
最後,保持 Port 80 開放以提供重新導向,有助於讓使用者訪問正確版本的網站 (HTTPS 版本)。在您無法控制的情況下,可能會發生各種情況,導致有人短暫地訪問您網站的 HTTP 版本 - 例如,電子郵件中的自動連結化,或手動輸入網域名稱。讓他們收到重新導向比收到錯誤更好。
不幸的是,您可能無法控制您網站的 Port 80 是否被封鎖。有些 (主要是住宅) ISP 會因各種原因封鎖 Port 80。如果您的 ISP 這樣做,但您仍然想從 Let's Encrypt 取得憑證,您有兩種選擇:您可以使用 DNS-01 挑戰,或者您可以使用支援 TLS-ALPN-01 挑戰的用戶端 (在 Port 443 上)。