Di recente siamo passati a "HTTPS ovunque" proprio qui su CSS-Tricks. Ho scritto un post sul blog descrivendo i passaggi per arrivarci. Questo video è un compagno a questo, parlando attraverso i passaggi, poiché so che alcune persone preferiscono quello stile e il tipo di dettaglio che offre.
Devo notare che non sono un esperto di queste cose. Sono sicuro che esistono diversi tipi di certificati SSL che possono essere installati in modi diversi e che offrono diversi livelli di sicurezza. Non posso parlarti di Heartbleed. Non so nemmeno come si ottiene il tipo di certificato in cui si dice il nome del proprio sito con il lucchetto verde, come alcuni siti hanno (ad es. Se sei interessato a cose avanzate del genere, questo non è il video per quello.
Alcune cose di cui si parla nel video:
- Firesheep mostra quanto sia facile ficcare il naso nel traffico del sito web pubblico. Non posso farlo su HTTPS.
- Gli ISP (e altri intermediari di Internet) possono fare confusione con il traffico di rete, non cose come inserire i propri annunci. Anche Google stesso. Non posso farlo su HTTPS.
- Il materiale HTTP / 2 sarà fantastico per le prestazioni web ed è probabile che alcuni browser richiedano HTTPS per utilizzarlo.
- Il solo fatto che il tuo host installi il tuo certificato SSL per te è probabilmente leggermente più costoso, ma (probabilmente) sarà fatto bene e richiederà meno lavoro da parte tua.
- Se il tuo sito consente la trasmissione di qualsiasi informazione sicura, anche se non raggiunge mai i tuoi server o non la memorizzi mai, il tuo sito dovrebbe essere HTTPS. Per lo meno, quelle pagine che hanno cose sicure, come le pagine di accesso o le pagine di registrazione.
- WordPress ha un'impostazione semplice per attivare HTTPS per l'area di amministrazione, che sarà più facile da far funzionare rispetto alla parte del tuo sito rivolta agli utenti.
- Se non puoi ancora andare HTTPS ovunque sull'utente rivolto verso la parte del tuo sito WordPress, c'è un plug-in che aiuta a rendere HTTPS singole pagine secondo necessità.
- Una volta che puoi forzare HTTPS ovunque, puoi abbandonare il plug-in e utilizzare questo frammento di HTAccess.
- Assicurati di modificare tutte le impostazioni possibili per far loro sapere che il tuo sito è ora http: // - per evitare reindirizzamenti. Ad esempio, il tuo CDN e le impostazioni direttamente in WordPress stesso.
- Google afferma che HTTPS influisce sulle classifiche di ricerca.
- Su un sito esistente con molti contenuti, forse la maggior parte del lavoro coinvolto sarà l'eliminazione degli "avvisi di contenuto misto". Non ottieni il blocco verde sicuro di HTTPS se, ad esempio, ti colleghi a un'immagine tramite HTTP. Peggio ancora, uno script collegato a insecurely non verrà eseguito affatto.