Wir sind erst kürzlich bei CSS-Tricks zu „HTTPS überall“ gewechselt. Ich habe einen Blog-Beitrag geschrieben, in dem die Schritte beschrieben sind, um dorthin zu gelangen. Dieses Video ist ein Begleiter dazu und spricht die Schritte durch, da ich weiß, dass einige Leute diesen Stil und die Art der Details bevorzugen, die er bietet.
Ich sollte beachten, dass ich kein Experte für dieses Zeug bin. Ich bin sicher, dass es verschiedene Arten von SSL-Zertifikaten gibt, die auf unterschiedliche Weise installiert werden können und unterschiedliche Sicherheitsstufen bieten. Ich kann dir nichts über Heartbleed erzählen. Ich weiß nicht einmal, wie Sie die Art von Zertifikat erhalten, in der der Name Ihrer Site durch das grüne Schloss angegeben ist, wie dies bei einigen Sites der Fall ist (z. B. Stripe). Wenn Sie sich für solche fortgeschrittenen Dinge interessieren, ist dies nicht das Video dafür.
Einige Dinge, über die im Video gesprochen wurde:
- Firesheep zeigt, wie einfach es sein kann, den öffentlichen Website-Verkehr zu überwachen. Das geht nicht über HTTPS.
- ISPs (und andere Internet-Zwischenhändler) können sich mit dem Netzwerkverkehr herumschlagen, nicht mit dem Einfügen eigener Anzeigen. Sogar Google selbst. Das geht nicht über HTTPS.
- HTTP / 2-Inhalte sind für die Webleistung fantastisch, und es ist wahrscheinlich, dass einige Browser HTTPS benötigen, um sie zu verwenden.
- Nur Ihren Host dazu zu bringen, Ihr SSL-Zertifikat für Sie zu installieren, ist wahrscheinlich etwas teurer, aber es wird (wahrscheinlich) richtig gemacht und Sie müssen weniger arbeiten.
- Wenn Ihre Site über sichere Informationen verfügt, die übertragen werden, selbst wenn diese niemals auf Ihre Server gelangen oder Sie sie niemals speichern, sollte Ihre Site HTTPS sein. Zumindest die Seiten, die das sichere Zeug haben, wie Anmeldeseiten oder Anmeldeseiten.
- WordPress verfügt über eine einfache Einstellung zum Aktivieren von HTTPS für den Administrationsbereich, die einfacher zu bearbeiten ist als der benutzerbezogene Teil Ihrer Website.
- Wenn Sie HTTPS noch nicht überall auf dem Benutzer Ihrer WordPress-Site verwenden können, gibt es ein Plugin, mit dem Sie einzelne Seiten nach Bedarf HTTPS-fähig machen können.
- Sobald Sie HTTPS überall erzwingen können, können Sie das Plugin fallen lassen und dieses HTAccess-Snippet verwenden.
- Stellen Sie sicher, dass Sie alle Einstellungen ändern, die Sie möglicherweise vornehmen können, um sie wissen zu lassen, dass Ihre Site jetzt http: // - ist, um Weiterleitungen zu vermeiden. Zum Beispiel Ihr CDN und die Einstellungen direkt in WordPress.
- Laut Google fließen HTTPS in Suchrankings ein.
- Auf einer vorhandenen Website mit vielen Inhalten besteht die meiste Arbeit möglicherweise darin, „Warnungen vor gemischten Inhalten“ zu bereinigen. Sie erhalten die sichere grüne Sperre von HTTPS nicht, wenn Sie beispielsweise über HTTP eine Verknüpfung zu einem Image herstellen. Schlimmer noch, ein Skript, das mit unsicher verknüpft ist, wird überhaupt nicht ausgeführt.