Kann man http-Zugriff auf seine Domain deaktivieren

  • Hi,


    wie kann man denn die Möglichkeit seiner Besucher über einen http Zugriff auf seine Webseite/Domain zuzugreifen deaktivieren bzw. die Webseite/Domain nur über https erreichbar machen?


    Grüße,

    Wilfried

  • bei einem Webhosting wirds schwierig, weil dort auf HTTP reagiert wird;

    ansonsten einfach nur Port 443 (HTTPS) nach außen öffnen und Port 80 (HTTP) dicht machen;

    bei Zugriffe auf HTTP (Port 80) bekommen Clients dann ein Timeout/einen Fehler;

  • Zumindest kann man aber in den Webhosting-Einstellungen aber eine 301 Weiterleitung auf https aktivieren. Damit ist zwar der Zugriff über den Port 80 nicht verhindert, aber die Webseite wird immer per https ausgeliefert. Und/oder man setzt einen HSTS-Header.

  • http Zugriff auf seine Webseite/Domain zuzugreifen deaktivieren

    Hallo,

    HTTP deaktivieren würde ich nicht empfehlen, da immer noch viele Clients standardmäßig zuerst oder nur über TCP Port 80 (HTTP) zu deiner Webseite navigieren.


    Das bedeutet, wenn du im Client (bspw. Webbrowser) nicht explizit https:// vor deinen Domainnamen schreibst, wird der Client http:// versuchen und einen Fehler anzeigen, weil auf Port 80 niemand erreichbar ist.


    Das ändert sich allerdings gerade, da Chrome, Firefox und Co. https:// zum Standard machen. Das bedeutet, zukünftig werden Webbrowser zuerst über TCP Port 443 (HTTPS) kommen und erst wenn das fehlschlägt, auf http:// zurückfallen. Wichtig ist aber: Das betrifft eben nur die allerneusten Versionen von wenigen Webbrowsern. Wenn deine Besucher bspw. RSS Feed Reader oder irgendwelche anderen Clients/Bibliotheken nutzen (z. B. Go-NEB) trifft das nicht zu.


    Best Practice ist aktuell:

    • HTTP (TCP Port 80) und HTTPS (TCP Port 443) aktivieren
    • Von HTTP mit 301 auf HTTPS umleiten
    • Einen HSTS Response Header setzen, sodass Clients mit HSTS Unterstützung sich für die Zukunft merken, deine Webseite nur via HTTPS aufzurufen
    • Ggf. in die HSTS Preload List eintragen lassen, sodass Clients mit HSTS Unterstützung auch beim allerersten Aufruf deine Webseite nur via HTTPS aufrufen

    Hinweis: Mit HTTP/3 kommt dann noch UDP statt TCP ins Spiel. Aber das ist noch Zukunftsmusik.