Niedawno przenieśliśmy się do „HTTPS wszędzie”, tutaj w CSS-Tricks. Napisałem post na blogu, w którym opisałem kroki, aby się tam dostać. Ten film towarzyszy temu, omawiając kroki, ponieważ wiem, że niektórzy ludzie wolą ten styl i rodzaj szczegółów, które on zapewnia.
Powinienem zauważyć, że nie jestem ekspertem w tej dziedzinie. Jestem pewien, że istnieją różne typy certyfikatów SSL, które można zainstalować na różne sposoby i które oferują różne poziomy bezpieczeństwa. Nie mogę ci powiedzieć o Heartbleed. Nie wiem nawet, skąd się bierze taki rodzaj certyfikatu, w którym za zieloną kłódką widnieje nazwa Twojej witryny, tak jak ma to miejsce w przypadku niektórych witryn (np. Stripe). Jeśli interesują Cię takie zaawansowane rzeczy, to nie jest to wideo.
Niektóre rzeczy omówione w filmie:
- Firesheep pokazuje, jak łatwo można podsłuchiwać ruch w publicznych witrynach internetowych. Nie mogę tego zrobić przez HTTPS.
- Dostawcy usług internetowych (i inni pośrednicy internetowi) mogą zepsuć ruch sieciowy, a nie wstawiać własnych reklam. Nawet samo Google. Nie mogę tego zrobić przez HTTPS.
- Rzeczy HTTP / 2 będą niesamowite pod względem wydajności sieci i prawdopodobnie niektóre przeglądarki będą wymagać HTTPS, aby z nich korzystać.
- Samo zainstalowanie przez hosta certyfikatu SSL jest prawdopodobnie nieco droższe, ale (prawdopodobnie) zostanie to zrobione dobrze i będzie wymagało mniej pracy z Twojej strony.
- Jeśli Twoja witryna umożliwia przesyłanie jakichkolwiek bezpiecznych informacji, nawet jeśli nigdy nie trafiają one na Twoje serwery lub nigdy ich nie przechowujesz, powinna obsługiwać protokół HTTPS. Przynajmniej te strony, które mają bezpieczne elementy, takie jak strony logowania lub strony rejestracji.
- WordPress ma proste ustawienie włączania HTTPS dla obszaru administracyjnego, które będzie łatwiejsze do pracy niż część witryny widoczna dla użytkowników.
- Jeśli nie możesz jeszcze korzystać z protokołu HTTPS wszędzie w części witryny WordPress, która jest widoczna dla użytkownika, dostępna jest wtyczka, która pomaga tworzyć poszczególne strony za pomocą protokołu HTTPS w razie potrzeby.
- Gdy już będziesz mógł wymusić HTTPS wszędzie, możesz porzucić wtyczkę i użyć tego fragmentu kodu HTAccess.
- Upewnij się, że zmieniłeś wszystkie możliwe ustawienia, aby poinformować ich, że Twoja witryna ma teraz adres http: // - aby uniknąć przekierowań. Na przykład Twój CDN i ustawienia bezpośrednio w samym WordPressie.
- Google mówi, że czynniki HTTPS w rankingach wyszukiwania.
- W istniejącej witrynie z dużą ilością treści być może najwięcej pracy będzie wymagało usunięcia „ostrzeżeń o mieszanej zawartości”. Nie otrzymasz bezpiecznej zielonej blokady HTTPS, jeśli na przykład połączysz się z obrazem przez HTTP. Co gorsza, skrypt powiązany z niezabezpieczonym w ogóle nie będzie działać.