Wir verwenden RHEL und müssen einen nicht privilegierten und beliebigen Port, beispielsweise Port 12345, für einen normalen Benutzer öffnen. Dieser normale Benutzer muss einen HTTP-Dienst ausführen, der auf diesem Port lauscht, und jeder Computer im LAN-Netzwerk kann auf den Dienst zugreifen. Angesichts der Art des Dienstes, den der Benutzer ausführen muss, ist es unwahrscheinlich, dass ein Reverse-Proxy funktioniert, und der Dienst des Benutzers muss direkt auf dem Port lauschen und seine Clients bedienen.
Wir möchten den Benutzer zwingen, seinen Dienst mit einem SSL-Zertifikat zu sichern, haben derzeit aber aus technischer Sicht keine gute Möglichkeit, dies zu tun. (Derzeit erinnern wir den Benutzer lediglich daran, HTTPS selbst richtig zu konfigurieren.)
Die Frage ist: Wäre es für einen Systemadministrator möglich, einen Port zu zwingen, nur HTTPS-Inhalte bereitzustellen, und angenommen, der Benutzer verwendet (wissentlich oder unwissentlich) reines HTTP, würde der Datenverkehr blockiert?
Normalerweise mache ich das mit einem Reverse-Proxy – interne Dienste hören nur auf dem lokalen Host zu und ein dediziertes HTTP-Serverprogramm wie Apache wird verwendet, um den SSL-Teil abzuwickeln. Dieser Ansatz funktioniert diesmal nicht so einfach, da der Webdienst ziemlich kompliziert ist (ich nehme an, er könnte mit einigen ebenso komplizierten Umschreiberegeln funktionieren), also frage ich mich, ob es einen anderen, einfacheren Ansatz gibt.
Danke!