HTTP-Port-Leitfaden: Webverkehr auf Port 80

HTTP ist das Anforderungs- und Antwortprotokoll, das von Browsern, APIs, Webhooks, Gesundheitsprüfungen und vielen internen Diensten verwendet wird. Auf Port 80 stellt der Client eine Verbindung über TCP her, sendet eine HTTP-Anfrage und empfängt Header und einen Antworttext, ohne vorher einen TLS-Handshake durchzuführen.

Da der Datenverkehr nicht verschlüsselt ist, kann jeder, der den Netzwerkpfad beobachten kann, URLs, Cookies, Header, Formulardaten und Antwortinhalte sehen, es sei denn, die Anwendung fügt ihren eigenen Schutz hinzu. Für öffentliche Websites und authentifizierte Anwendungen sollte Port 80 normalerweise zu HTTPS umleiten, anstatt private Inhalte direkt bereitzustellen.

Port 80 ist reines HTTP. Port 443 ist HTTPS, was bedeutet, dass HTTP innerhalb einer TLS-verschlüsselten Sitzung übertragen wird. Das Benutzererlebnis in einem Browser sieht möglicherweise ähnlich aus, aber das Sicherheitsmodell ist anders: HTTPS validiert das Serverzertifikat und verschlüsselt den Datenverkehr während der Übertragung.

Die meisten Produktionsstandorte nutzen beide Ports zusammen. Port 80 akzeptiert alte Links, Zertifikatsherausforderungen und erstmalige Browseranfragen und sendet dann eine 301- oder 308-Weiterleitung an die HTTPS-URL auf 443. Danach kann HSTS Browser anweisen, HTTPS automatisch zu bevorzugen.

Halten Sie Port 80 offen, wenn Sie HTTP-zu-HTTPS-Weiterleitungen, Let's Encrypt HTTP-01-Herausforderungen, Load-Balancer-Gesundheitsprüfungen, CDN-Ursprungsprüfungen, einfache interne Statusendpunkte oder Kompatibilität mit älteren Systemen benötigen, die nicht direkt auf HTTPS starten können.

Schließen oder beschränken Sie Port 80, wenn der Dienst privat ist, wenn alle Clients kontrolliert werden und HTTPS direkt verwenden können oder wenn einfaches HTTP unnötige Gefährdung verursacht. Wenn Sie es geöffnet lassen, halten Sie das Verhalten eng und vorhersehbar: Weiterleitung, Herausforderung oder Gesundheitsprüfung statt vollständiger Anwendungszugriff.

Stellen Sie vor dem Öffnen von TCP 80 sicher, dass der vorgesehene Webserver, Reverse-Proxy, Ingress-Controller, CDN-Ursprung oder Load Balancer die richtige Schnittstelle überwacht. Entscheiden Sie, ob Port 80 Inhalte bereitstellen, auf 443 umleiten, Gesundheitsprüfungen beantworten oder nur auf Zertifikatsvalidierungspfade reagieren soll.

Ein Portprüfer bestätigt die Netzwerkerreichbarkeit, sagt Ihnen jedoch nicht, ob Ihre Umleitungskette, Cache-Header, virtuelles Host-Routing oder Zertifikatsautomatisierung korrekt sind. Testen Sie sowohl den TCP-Pfad als auch das HTTP-Verhalten mit einem Browser, Curl und Serverprotokollen.

Führen Sie unter Windows Server IIS, Nginx, Apache, Caddy oder einen anderen Webserver aus, binden Sie die Site an TCP 80 und lassen Sie eingehenden HTTP-Verkehr in der Windows Defender-Firewall zu. Cloud-Server benötigen außerdem passende Cloud-Firewall- oder Sicherheitsgruppenregeln.

Konfigurieren Sie unter Linux Nginx, Apache, Caddy, eine Container-Port-Veröffentlichung oder einen Ingress-Controller zum Abhören von 80 und lassen Sie dann TCP 80 in ufw, firewalld, nftables, iptables oder der Provider-Firewall zu. Container und Kubernetes-Dienste müssen den Port auf der Host-, Lastausgleichs- oder Eingangsebene veröffentlichen oder weiterleiten.

Unter macOS wird Port 80 am häufigsten für lokale Entwicklungs- oder Labordienste verwendet. Für privilegierte Ports sind möglicherweise erhöhte Berechtigungen erforderlich, und lokale Firewall- oder Routerregeln bestimmen weiterhin, ob andere Maschinen den Dienst erreichen können.

Beginnen Sie mit einer externen Portprüfung anhand des öffentlichen Hostnamens oder der IP-Adresse und Port 80. Wenn das Ergebnis offen ist, können Remote-Clients eine TCP-Verbindung herstellen. Führen Sie dann „curl -I http://example.com“ aus, um Statuscodes, Weiterleitungen, Server-Header und Cache-Verhalten zu überprüfen.

Überprüfen Sie auf dem Server die Listener mit ss -tlnp, netstat, lsof oder PowerShell. Vergleichen Sie für Reverse-Proxys und Cloud-Bereitstellungen Host-Firewall-Regeln, Cloud-Sicherheitsgruppen, Load-Balancer-Listener, Container-Port-Zuordnungen und Anwendungsprotokolle, da jede Ebene HTTP blockieren oder fehlleiten kann.

Wenn Port 80 als geschlossen angezeigt wird, ist der Webserver möglicherweise gestoppt, lauscht nur auf Localhost, verwendet einen anderen Port oder wird von der Host-Firewall blockiert. Bei einer Zeitüberschreitung können Pakete durch eine Cloud-Firewall, eine Router-NAT-Regel, einen ISP-Filter, eine CDN-Einstellung oder eine Upstream-Sicherheitsrichtlinie verworfen werden.

Wenn Port 80 geöffnet ist, aber die Seite falsch ist, überprüfen Sie die Reihenfolge der virtuellen Hosts, das Host-Header-Routing, Standardserverblöcke, Proxy-Upstreams, Containerzuordnungen und DNS-Einträge. Wenn sich Weiterleitungen in einer Schleife befinden, vergleichen Sie die virtuellen HTTP- und HTTPS-Hosts und stellen Sie sicher, dass der Proxy das ursprüngliche Schema korrekt weiterleitet.

Verwenden Sie absichtlich Port 80. Leiten Sie den Anwendungsverkehr auf HTTPS um, vermeiden Sie Anmeldeinformationen und vertrauliche Daten auf einfachem HTTP und behalten Sie nur die Endpunkte bei, die erreichbar bleiben müssen. Koppeln Sie bei öffentlichen Websites die Umleitung mit gültigen Zertifikaten auf 443 und HSTS, nachdem Sie bestätigt haben, dass HTTPS stabil ist.

Protokollieren Sie Anfragen an Port 80, achten Sie auf unerwartete Pfade und entfernen Sie ältere Endpunkte, die kein einfaches HTTP mehr benötigen. Wenn Port 80 nur für ACME oder Integritätsprüfungen vorgesehen ist, beschränken Sie die Antworten auf diese Pfade, damit der Dienst leichter zu verstehen und zu überwachen ist.