Sto creando un sito web di hobby e cerco di renderlo il più sicuro possibile. Il back-end è nginx + uwsgi. Ho configurato la connessione HTTPS. Per le richieste non SSL, ho le seguenti regole in nginx.conf:
server {
listen 80;
server_name xxx.net;
return 301 https://xxx.net$request_uri;
}
server {
listen 80;
server_name www.xxx.net;
return 301 https://xxx.net$request_uri;
}
Quindi tutte le richieste http: // sono reindirizzate 301 a https: //. Il sito è anche configurato per utilizzare HSTS, quindi i browser eseguiranno il reindirizzamento 306 dopo la prima visita.
In parallelo, seguendo alcune altre letture orientate alla sicurezza, ho anche impostato il firewall UFW per negare l'accesso alla porta 80 (default HTTP). Mi chiedo se quel passaggio in più non aggiunga nulla alla sicurezza e invece non introduca confusione?
Il firewall bloccherà qualsiasi traffico HTTP prima che nginx abbia la possibilità di subentrare e reindirizzare, oppure il reindirizzamento avviene prima? Se il reindirizzamento avviene, questa regola aggiunge qualcosa? È una buona pratica (come un ulteriore livello di sicurezza) o completamente ridondante?