Нещодавно ми перейшли на "HTTPS скрізь" тут, на CSS-Tricks. Я написав допис у блозі, де детально описував кроки до нього. Це відео є супутником цього, розповідаючи кроки, оскільки я знаю, що деякі люди віддають перевагу саме цьому стилю та типу деталей, які він надає.
Слід зазначити, що я не фахівець у цій справі. Я впевнений, що існують різні типи сертифікатів SSL, які можна встановлювати різними способами та забезпечують різний рівень безпеки. Я не можу розповісти вам про Heartbleed. Я навіть не знаю, як ви отримуєте такий сертифікат, де в ньому вказано назву ваших сайтів зеленим замком, як на деяких сайтах (наприклад, Stripe). Якщо вас цікавлять такі розширені речі, це не відео для цього.
Деякі речі, про які говорили у відео:
- Firesheep показує, наскільки просто може бути підслідження відвідуваності публічних веб-сайтів. Не вдається зробити це через HTTPS.
- Постачальники послуг Інтернету (та інші посередники в Інтернеті) можуть возитися з мережевим трафіком, не роблячи таких, як вставлення власних оголошень. Навіть сам Google. Не вдається зробити це через HTTPS.
- Речі HTTP / 2 будуть чудовими для веб-продуктивності, і, ймовірно, деякі браузери вимагатимуть використання HTTPS.
- Просто примусити хоста встановити для вас ваш SSL-сертифікат, мабуть, трохи дорожче, але це (можливо) буде зроблено правильно і з вашим боку буде менше роботи.
- Якщо ваш сайт забезпечує передачу будь-якої захищеної інформації, навіть якщо вона ніколи не потрапляє на ваші сервери або ви ніколи не зберігаєте її, ваш сайт повинен мати HTTPS. Принаймні, ті сторінки, які мають захищений матеріал, такі як сторінки входу або сторінки реєстрації.
- WordPress має просту настройку для ввімкнення HTTPS для адміністративної області, яку буде легше зайняти роботою, ніж частина вашого сайту, спрямована на користувача.
- Якщо ви ще не можете перейти HTTPS скрізь на сторону користувача, що стоїть на частині вашого веб-сайту WordPress, є плагін, який допомагає робити окремі сторінки HTTPS за потреби.
- Як тільки ви зможете застосувати HTTPS скрізь, ви можете відмовитися від плагіна і використовувати цей фрагмент HTAccess.
- Переконайтеся, що ви змінили всі можливі налаштування, щоб повідомити їх, що ваш сайт зараз http: // - щоб уникнути переспрямувань. Наприклад, ваш CDN та налаштування безпосередньо в самому WordPress.
- Google зазначає, що фактори HTTPS враховують рейтинг пошуку.
- На існуючому сайті з великою кількістю вмісту, мабуть, найбільшою роботою буде зачистка «попереджень щодо змішаного вмісту». Ви не отримаєте безпечний зелений замок HTTPS, якщо, наприклад, посилаєтесь на зображення через HTTP. Гірше того, скрипт, прив’язаний до небезпечно, взагалі не працюватиме.