Portar

Port 443: HTTPS

Krypterad webbtrafik. Vanligast TCP och allt oftare UDP för HTTP över QUIC.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

Port 443 är standardporten för HTTPS, vilket betyder att HTTP bärs in i en TLS skyddad kanal. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd. En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar.

Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda. Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket.

I det vanliga TCP-baserade fallet öppnar klienten en TCP-anslutning till destinationsport 443, utför TCP-handskakningen och utför sedan en TLS-handskakning där servern bevisar sin identitet med ett certifikat och båda sidor härleder krypteringsnycklar. Först då flödar HTTP förfrågningar och svar inuti den krypterade tunneln, ofta med anslutningsåteranvändning för många förfrågningar.

Moderna webbstackar använder också HTTP över QUIC, känd som HTTP/3, som körs över UDP på port 443. Det är därför du kan se både TCP 443 och UDP 443 involverade i webbtrafik.

Port 443 spelar roll eftersom det är den vanligaste externt nåbara tjänsten på internet, så det är både en affärskritisk ingångspunkt och en favorit gömställe för tunnling och kommando och kontroll. Kryptering skyddar transportkonfidentialitet, men programsårbarheter, svag autentisering och felkonfiguration är fortfarande de verkliga riskerna på 443.

Hur det fungerar i stora drag

  1. Klienten öppnar en TCP-anslutning och utför en TLS-handskakning för att komma överens om nycklar och verifiera certifikatet.
  2. Inne i den krypterade tunneln skickar klienten HTTP-förfrågningar och tar emot svar.
  3. Moderna stackar kan använda HTTP/2 eller HTTP/3, och kan återanvända anslutningar för många förfrågningar.

Konkret exempel

En användare besöker en webbplats. Webbläsaren verifierar certifikatet under TLS-handskakningen och skickar sedan en HTTP GET. Även om trafiken är krypterad visar serverloggarna fortfarande sökvägen och statuskoden.

Varför det är viktigt

Port 443 är den vanligaste externa exponeringen på internet. Säkerhetsställning beror på TLS-konfiguration, certifikathygien och applikationssäkerhet. I utredningar kan 443-trafik vara legitim webbanvändning eller så kan den dölja tunnling, proxyservrar och kommando och kontroll.

Säkerhetsperspektiv

  • Använd starka TLS-konfigurationer och automatisera certifikatrotation.
  • Tillämpa webbsäkerhetskontroller som WAF-regler, hastighetsbegränsning och robust autentisering.
  • Inspektera loggar för ovanliga sökvägar, användaragenter och begärandevolymer. Kryptering tar inte bort behovet av synlighet.

Vanliga fallgropar

  • Att anta att HTTPS betyder säkert. Transporten är krypterad men applikationen kan fortfarande vara sårbar.
  • Svaga TLS-inställningar, utgångna certifikat eller saknad certifikatvalidering i klienter.
  • Exponera administratörsändpunkter på 443 eftersom det känns normalt, utan åtkomstkontroller.