Vi har nylig flyttet til “HTTPS overalt” her på CSS-Tricks. Jeg skrev opp et blogginnlegg som beskriver trinnene for å komme dit. Denne videoen er en følgesvenn av det, og snakker gjennom trinnene, som jeg vet, noen foretrekker den stilen og den type detaljer den gir.
Jeg bør merke meg at jeg ikke er ekspert på disse tingene. Jeg er sikker på at det finnes forskjellige typer SSL-sertifikater som kan installeres på forskjellige måter, og som tilbyr forskjellige sikkerhetsnivåer. Jeg kan ikke fortelle deg om Heartbleed. Jeg vet ikke en gang hvordan du får et sertifikat der det står navnet på nettstedet ditt med den grønne låsen slik som noen nettsteder har (f.eks. Stripe). Hvis du er interessert i avanserte ting som dette, er dette ikke videoen for det.
Noen ting snakket om i videoen:
- Firesheep viser hvor enkelt det kan være å fange offentlig nettstrafikk. Kan ikke gjøre det over HTTPS.
- Internett-leverandører (og andre internettformidlere) kan rote med nettverkstrafikk, ikke ting som å sette inn egne annonser. Selv Google selv. Kan ikke gjøre det over HTTPS.
- HTTP / 2-ting vil være kjempebra for nettytelse, og det er sannsynlig at noen nettlesere vil kreve HTTPS for å bruke det.
- Bare det å få verten din til å installere SSL-sertifikatet for deg er sannsynligvis litt dyrere, men det vil (sannsynligvis) gjøres riktig og være mindre arbeid fra din side.
- Hvis nettstedet ditt overfører sikker informasjon overhodet, selv om det aldri treffer serverne dine eller du aldri lagrer det, bør nettstedet ditt være HTTPS. I det minste de sidene som har de sikre tingene, som påloggingssider eller registreringssider.
- WordPress har en enkel innstilling for å slå på HTTPS for adminområdet, noe som vil være lettere å komme i gang enn en brukervendt del av nettstedet ditt.
- Hvis du ennå ikke kan gå HTTPS overalt på brukeren som vender mot en del av WordPress-nettstedet ditt, er det et plugin som hjelper med å gjøre individuelle sider HTTPS etter behov.
- Når du kan tvinge HTTPS overalt, kan du kaste pluginet og bruke denne HTAccess-kodebiten.
- Forsikre deg om at du endrer alle innstillingene du kan for å fortelle dem at nettstedet ditt nå er http: // - for å unngå omdirigeringer. For eksempel CDN og innstillingene i selve WordPress.
- Google sier HTTPS-faktorer i søkerangeringen.
- På et eksisterende nettsted med mye innhold vil kanskje det mest involverte være å rydde opp i "advarsler om blandet innhold". Du får ikke den sikre grønne låsen til HTTPS hvis du for eksempel lenker til et bilde via HTTP. Verre, et skript knyttet til usikkert kjører ikke i det hele tatt.