Estoy configurando un sitio web de hobby y tratando de hacerlo lo más seguro posible. El backend es nginx + uwsgi. He configurado la conexión HTTPS. Para las solicitudes que no son SSL, tengo las siguientes reglas en nginx.conf:
server {
listen 80;
server_name xxx.net;
return 301 https://xxx.net$request_uri;
}
server {
listen 80;
server_name www.xxx.net;
return 301 https://xxx.net$request_uri;
}
Por lo tanto, todas las solicitudes http: // se redirigen 301 a https: //. El sitio también está configurado para usar HSTS, por lo que los navegadores realizarán una redirección 306 después de la primera visita.
En paralelo, siguiendo algunas otras lecturas orientadas a la seguridad, también configuré el firewall UFW para denegar el acceso al puerto 80 (valor predeterminado de HTTP). Me pregunto si ese paso adicional en realidad agrega algo de seguridad y, en lugar de eso, no introduce confusión.
¿El firewall bloqueará el tráfico HTTP antes de que nginx tenga la oportunidad de asumir el control y redirigir, o el redireccionamiento ocurre primero? Si la redirección ocurre, ¿esta regla agrega algo? ¿Es una buena práctica (como una capa de seguridad adicional) o completamente redundante?