Мы совсем недавно перешли на «HTTPS везде» прямо здесь, на CSS-Tricks. Я написал сообщение в блоге, в котором подробно описаны шаги, которые нужно предпринять. Это видео является дополнением к этому, в нем рассказывается об этапах, поскольку я знаю, что некоторые люди предпочитают этот стиль и тип деталей, которые он предоставляет.
Должен заметить, что я не эксперт в этом деле. Я уверен, что существуют разные типы SSL-сертификатов, которые можно установить по-разному и которые предлагают разные уровни безопасности. Я не могу рассказать вам о Heartbleed. Я даже не знаю, как получить сертификат, в котором имя вашего сайта помечено зеленым замком, как на некоторых сайтах (например, Stripe). Если вас интересуют такие продвинутые вещи, это видео не для этого.
Некоторые вещи, о которых говорится в видео:
- Firesheep показывает, насколько легко можно отслеживать трафик общедоступных веб-сайтов. Нельзя сделать это по HTTPS.
- Интернет-провайдеры (и другие интернет-посредники) могут связываться с сетевым трафиком, а не вставлять собственную рекламу. Даже сам гугл. Это невозможно сделать по HTTPS.
- HTTP / 2 отлично подойдет для веб-производительности, и вполне вероятно, что некоторым браузерам потребуется HTTPS для его использования.
- Просто заставить ваш хост установить ваш SSL-сертификат, вероятно, немного дороже, но (вероятно) это будет сделано правильно и с вашей стороны будет меньше работы.
- Если ваш сайт поддерживает передачу какой-либо защищенной информации, даже если она никогда не попадает на ваши серверы или вы никогда не храните ее, ваш сайт должен быть HTTPS. По крайней мере, те страницы, которые имеют защищенный материал, например страницы входа или страницы регистрации.
- WordPress имеет простую настройку для включения HTTPS для области администрирования, с которой будет легче работать, чем с пользовательской частью вашего сайта.
- Если вы еще не можете использовать HTTPS повсюду на пользовательской части вашего сайта WordPress, существует плагин, который помогает сделать отдельные страницы HTTPS по мере необходимости.
- Как только вы сможете принудительно использовать HTTPS повсюду, вы можете отказаться от плагина и использовать этот фрагмент HTAccess.
- Убедитесь, что вы изменили все возможные настройки, чтобы они знали, что ваш сайт теперь http: // - во избежание перенаправлений. Например, ваш CDN и настройки прямо в самом WordPress.
- Google утверждает, что HTTPS влияет на поисковый рейтинг.
- На существующем сайте с большим количеством контента, возможно, большая часть работы будет связана с удалением «предупреждений о смешанном содержании». Вы не получите безопасный зеленый замок HTTPS, если, например, создадите ссылку на изображение через HTTP. Хуже того, сценарий, связанный с небезопасной связью, вообще не запускается.