最終更新日: | すべてのドキュメントを見る
Webサーバーへのポート80をファイアウォールで遮断しているため、HTTP-01チャレンジタイプを使用する際に問題が発生しているという報告が時々寄せられます。私たちの推奨は、一般的なWeb利用を目的とするすべてのサーバーが、ポート80でのHTTPとポート443でのHTTPSの両方を提供すべきであるということです。また、すべてのポート80リクエストに対してリダイレクトを送信し、場合によってはHSTSヘッダー(ポート443リクエスト)を送信する必要があります。
ポート80を許可しても、サーバーの攻撃対象領域が大きくなるわけではありません。なぜなら、ポート80のリクエストは通常、ポート443で実行されるソフトウェアと同じソフトウェアによって処理されるからです。
ポート80を閉じることは、誤ってHTTP経由でWebサイトにアクセスする人のリスクを減らすことにはなりません。通常の場合、その人はHTTPSへのリダイレクトを受け取り、その後のトラフィックは保護されます。もしその人がアクティブなMITM(中間者攻撃)の対象であった場合、MITMがポート80に応答するため、あなたのサイトが「接続拒否」と応答する機会はありません。
最後に、リダイレクトを提供するためにポート80を開放しておくことは、人々をサイトの正しいバージョン(HTTPSバージョン)に誘導するのに役立ちます。メール内の自動リンクやドメイン名の手入力など、あなたの制御が及ばないさまざまな状況で、誰かがサイトのHTTPバージョンに一時的にアクセスしてしまう可能性があります。エラーが表示されるよりも、リダイレクトを受け取る方が良いでしょう。
残念ながら、サイトのポート80がブロックされているかどうかを制御できない場合があります。一部の(主に住宅向けの)ISPは、さまざまな理由でポート80をブロックしています。お使いのISPがこれを行っているが、それでもLet's Encryptから証明書を取得したい場合は、2つのオプションがあります。DNS-01チャレンジを使用するか、TLS-ALPN-01チャレンジをサポートするクライアント(ポート443)を使用することができます。