Vi flyttade nyligen till “HTTPS överallt” här på CSS-Tricks. Jag skrev upp ett blogginlägg som beskriver stegen för att komma dit. Den här videon är en följeslagare till det och pratar genom stegen, eftersom jag vet att vissa föredrar den stilen och den typ av detaljer som den ger.
Jag bör notera att jag inte är expert på det här. Jag är säker på att det finns olika typer av SSL-certifikat som kan installeras på olika sätt och som erbjuder olika säkerhetsnivåer. Jag kan inte berätta om Heartbleed. Jag vet inte ens hur du får den typ av certifikat där det står ditt webbplatsnamn med det gröna låset som vissa webbplatser har (t.ex. Stripe). Om du är intresserad av avancerade saker så är det inte videon för det.
Några saker som vi pratade om i videon:
- Firesheep visar hur lätt det kan vara att snoopa offentlig webbtrafik. Kan inte göra det via HTTPS.
- Internetleverantörer (och andra internetförmedlare) kan röra sig med nätverkstrafik, inte saker som att infoga egna annonser. Till och med Google själv. Kan inte göra det via HTTPS.
- HTTP / 2-saker kommer att vara fantastiska för webbprestanda, och det är troligt att vissa webbläsare kräver HTTPS för att använda det.
- Att bara få din värd att installera ditt SSL-certifikat åt dig är förmodligen något dyrare men det kommer (förmodligen) att göras rätt och vara mindre arbete från din sida.
- Om din webbplats tillhandahåller säker information som överförs, även om den aldrig träffar dina servrar eller du aldrig lagrar den, bör din webbplats vara HTTPS. Åtminstone de sidor som har säkra saker, som inloggningssidor eller registreringssidor.
- WordPress har en enkel inställning för att aktivera HTTPS för administratörsområdet, vilket blir lättare att komma igång än användarvänlig del av din webbplats.
- Om du ännu inte kan gå HTTPS överallt på den användare som står inför en del av din WordPress-webbplats finns det ett plugin som hjälper till att göra enskilda sidor HTTPS efter behov.
- När du kan tvinga HTTPS överallt kan du dike plugin och använda detta HTAccess-kodavsnitt.
- Se till att du ändrar alla inställningar du kan för att låta dem veta att din webbplats nu är http: // - för att undvika omdirigeringar. Till exempel din CDN och inställningarna direkt i WordPress själv.
- Google säger HTTPS-faktorer i sökrankningen.
- På en befintlig webbplats med mycket innehåll kanske det mest involverade är att städa upp varningar om blandat innehåll. Du får inte det säkra gröna låset för HTTPS om du till exempel länkar till en bild via HTTP. Värre är att ett skript kopplat till osäkert inte kommer att köras alls.