Tengo una API a la que quiero que solo pueda acceder HTTPS. Sé que puedo usar la reescritura de URL para forzar una redirección, pero no quiero instalar módulos adicionales. Me preguntaba si solo proporcionar un enlace HTTPS sería una solución segura (de manera que no se permitiría la conexión HTTP).
¿Es posible engañar al servidor para que acepte la solicitud HTTP con este tipo de configuración?
No es posible "engañar" al servidor, pero aquí hay algunas advertencias.
Primero, todavía es posible configurar otro sitio en IIS con un enlace que acepte solicitudes HTTP, por lo que debe conocer la configuración de cualquier otro sitio alojado en este servidor.
Segundo, esta configuración significa que si las personas intentan visitar el sitio directamente o de otra manera a través del protocolo HTTP, simplemente obtendrán un error. Dependiendo de su caso de uso, esto puede estar bien, y ciertamente es la opción menos compleja. Si tienes personas que acceden al sitio a través de un navegador, probablemente no lo sea. Si no es así, puede (como ya sabe) configurar un enlace HTTP y redirigir. Esto tiene la ventaja adicional de evitar que otros sitios vinculen HTTP a este nombre de IP / host, lo que reduce la probabilidad de que un segundo sitio sirva erróneamente al sitio a través de HTTP.
No: si no hay un enlace http, IIS no aceptará una solicitud HTTP. En 443, intentará negociar una conexión TLS / SSL (según la configuración), si no puede, la conexión fallará.
Cita relevante: "Al habilitar SSL en Microsoft® Internet Information Services (IIS) 7.5 / 7.0, los [servidores web] se comunican mediante autenticación y cifrado para todas las transferencias de datos".
Permitir que https se degrade a http sería una violación grave del estándar TLS.
Además, probablemente también querrá considerar qué protocolos admite: todos los protocolos SSL y TLS 1.0 se consideran inseguros en este momento (TLS 1.1 y 1.2 aún están bien). enlace le muestra cómo limitarse a TLS 1.1 y 1.2. Sin embargo, tenga en cuenta que es posible que los navegadores más antiguos no admitan 1.1 y 1.2 (casi todo lo relevante ahora es compatible con 1.0), por lo que, dependiendo de su público objetivo, es posible que deba seguir admitiendo TLS 1.0 durante un tiempo más.
HTTPS solo es una mala idea si su sitio alberga información pública, especialmente si esa información es generada dinámicamente por un CMS. Hace que el almacenamiento en caché de Internet de ISP y el proxy inverso (como calamar / barniz) no funcionen y eso puede llevar a servidores sobrecargados y al uso exorbitante de ancho de banda. Si tiene un número limitado de usuarios, esto no es un gran problema, pero paralizará sus servidores durante los grandes picos de tráfico y provocará un tiempo de inactividad a menos que tenga un montón de recursos informáticos.