Port 443: der HTTPS-Port für sicheren Webverkehr

HTTPS wurde zur Standardmethode zum Schutz von Websitzungen, da einfaches HTTP Anfragen, Antworten, Cookies und Formulardaten jedem zugänglich macht, der den Netzwerkpfad beobachten kann. Port 443 bietet Clients und Servern einen vorhersehbaren Ort, an dem diese verschlüsselte Konversation beginnen kann. Der Browser erfordert nicht, dass ein Benutzer die Portnummer eingibt, und Infrastrukturteams können Firewall-, Proxy- und Überwachungsregeln um einen bekannten Standard herum schreiben.

Die Nummer selbst stammt aus dem bekannten Portregister, das von der IANA verwaltet wird. Früher sicherer Webverkehr nutzte SSL, später löste TLS SSL als modernes Sicherheitsprotokoll ab. Der Name HTTPS blieb erhalten, da das Anwendungsprotokoll immer noch HTTP ist, es jedoch in einem TLS-geschützten Kanal übertragen wird. Wenn man heute von SSL-Zertifikat spricht, meint man normalerweise ein TLS-Zertifikat, das von HTTPS auf Port 443 verwendet wird.

Port 80 ist der Standardport für HTTP. Es kann weiterhin für anfängliche Weiterleitungen, Herausforderungen bei der Zertifikatautomatisierung, interne Gesundheitsprüfungen und die Kompatibilität mit älteren Clients nützlich sein. Port 443 ist anders, da der Browser einen TLS-Handshake erwartet, bevor der normale HTTP-Verkehr beginnt. Durch diesen Handshake kann der Server seine Identität mit einem Zertifikat nachweisen und beide Seiten können sich auf Verschlüsselungsschlüssel einigen, bevor private Daten ausgetauscht werden.

Moderne Produktionsstandorte halten Port 80 normalerweise nur für Weiterleitungen oder Zertifikatsautomatisierung offen. Der tatsächliche Anwendungsverkehr sollte auf 443 landen, häufig mit aktiviertem HSTS, sodass Browser daran denken, HTTPS zu verwenden.

Öffnen Sie Port 443, wenn ein Internetbenutzer, eine Kundenanwendung, ein Webhook-Anbieter, ein CDN, eine mobile App oder ein Partnersystem Ihren Dienst über HTTPS erreichen muss. Typische Beispiele sind öffentliche Websites, REST-APIs, GraphQL-Endpunkte, OAuth-Rückrufe, Zahlungs-Webhooks, Reverse-Proxy-Frontdoors, Container-Ingress-Controller und selbst gehostete Dashboards, die durch Authentifizierung geschützt sind.

Öffnen Sie 443 nicht, nur weil es sicher aussieht. HTTPS verschlüsselt den Datenverkehr während der Übertragung, behebt jedoch keine schwache Authentifizierung, veraltete Software, offengelegte Administratorrouten oder gefährliche Standardanmeldeinformationen. Behandeln Sie 443 als öffentlichen Einstiegspunkt, der Patching, Protokollierung und Zugriffskontrolle verdient.

Ein funktionierender HTTPS-Endpunkt benötigt vier Teile, um in einer Reihe zu stehen. DNS muss den Hostnamen auf die richtige öffentliche Adresse verweisen. Ein Dienst muss auf 443 lauschen. Netzwerkkontrollen wie Host-Firewalls, Cloud-Sicherheitsgruppen, Router-Port-Weiterleitung und Load-Balancer-Listener müssen die Verbindung zulassen. Abschließend muss der Server ein Zertifikat vorlegen, das zum Hostnamen passt.

Trennen Sie zwei Fragen: Ist der Port erreichbar und ist HTTPS richtig konfiguriert? Ein Port-Checker bestätigt den TCP-Pfad. Tools wie Curl, Browser Devtools und OpenSSL S_Client helfen bei der Überprüfung von Weiterleitungen, Zertifikaten, TLS-Versionen und HTTP-Antworten.

Installieren Sie unter Windows Server IIS, Nginx, Caddy oder einen anderen Webserver, binden Sie ein Zertifikat an die Site und lassen Sie eingehenden TCP 443 in der Windows Defender-Firewall zu. Für Cloud-Server muss außerdem 443 in der Cloud-Sicherheitsgruppe oder Firewall-Richtlinie zulässig sein.

Installieren Sie unter Linux Nginx, Apache oder Caddy, konfigurieren Sie einen virtuellen Host für 443 und verwenden Sie ein Zertifikat von einem Anbieter wie Let's Encrypt. Lassen Sie dann den Port in der Host-Firewall zu, zum Beispiel mit ufwallow 443/tcp unter Ubuntu. Container müssen außerdem 443 auf dem Host oder Load Balancer veröffentlicht werden.

Unter macOS ist Port 443 hauptsächlich für lokale Entwicklungs- oder Laborumgebungen vorgesehen. Sie benötigen weiterhin einen Prozess, der 443 überwacht, und privilegierte Ports erfordern möglicherweise erhöhte Berechtigungen.

Beginnen Sie mit einer externen Portprüfung anhand der öffentlichen IP-Adresse oder des Hostnamens. Wenn das Ergebnis offen ist, kann ein Remote-Client eine TCP-Verbindung zu 443 herstellen. Als Nächstes verwenden Sie einen Browser oder „curl -I https://example.com“, um den HTTP-Status, die Weiterleitungen und die Header zu überprüfen.

Überprüfen Sie auf dem Server selbst, ob ein Prozess mit ss -tlnp, netstat oder PowerShell lauscht. Für TLS-Details zeigt openssl s_client -connect example.com:443 -servername example.com die Zertifikatskette und Handshake-Informationen an.

Wenn Port 443 geschlossen angezeigt wird, wird der Dienst möglicherweise nicht ausgeführt, lauscht nur auf localhost oder ist möglicherweise an die falsche Schnittstelle gebunden. Wenn es zu einer Zeitüberschreitung kommt, verwirft möglicherweise eine Firewall, eine Cloud-Sicherheitsgruppe, ein Router, ein ISP oder ein Upstream-Anbieter Pakete. Wenn der Port geöffnet ist, HTTPS jedoch fehlschlägt, überprüfen Sie den Zertifikatsnamen, die Zertifikatskette, die SNI-Konfiguration, den Reverse-Proxy-Upstream und die Anwendungsprotokolle.

Zu den häufigen Fehlern gehören das Öffnen der Host-Firewall und das Vergessen der Cloud-Firewall, das Zuordnen des Docker-Ports 443 innerhalb eines Containers, ohne ihn auf dem Host zu veröffentlichen, oder das Testen von einem Heimnetzwerk hinter CGNAT aus. In diesen Fällen benötigen Sie möglicherweise einen Tunnel, eine Geschäftsverbindung oder einen öffentlichen Cloud-Endpunkt.

Halten Sie TLS einfach und modern. Bevorzugen Sie TLS 1.3 und TLS 1.2, deaktivieren Sie veraltete Protokolle, erneuern Sie Zertifikate automatisch, leiten Sie HTTP zu HTTPS um und überwachen Sie den Ablauf von Zertifikaten. Verlassen Sie sich nicht allein auf die Verschlüsselung. Stellen Sie die Authentifizierung vor private Tools, schränken Sie administrative Pfade ein, patchen Sie den Anwendungsstapel und protokollieren Sie fehlgeschlagene Authentifizierungsversuche.

Für hochwertige Dienste platzieren Sie 443 hinter einem Reverse-Proxy, einer WAF, einem CDN oder einem Load Balancer, der die Rate verdächtigen Datenverkehrs begrenzen und die Beobachtbarkeit verbessern kann. Wenn der Dienst nur für Mitarbeiter gedacht ist, verwenden Sie ein VPN, einen identitätsbewussten Proxy, eine Zulassungsliste oder mTLS, anstatt ihn allgemein erreichbar zu lassen.