We zijn onlangs verhuisd naar "HTTPS overal" hier op CSS-Tricks. Ik schreef een blogpost met de stappen om daar te komen. Deze video is daar een aanvulling op, waarbij we de stappen doorlopen, omdat ik weet dat sommige mensen de voorkeur geven aan die stijl en het soort detail dat het oplevert.
Ik moet opmerken dat ik geen expert ben op dit gebied. Ik weet zeker dat er verschillende soorten SSL-certificaten zijn die op verschillende manieren kunnen worden geïnstalleerd en die verschillende beveiligingsniveaus bieden. Ik kan je niet vertellen over Heartbleed. Ik weet niet eens hoe je het soort certificaat krijgt waar de naam van je site staat bij het groene slotje, zoals sommige sites hebben (bijvoorbeeld Stripe). Als je geïnteresseerd bent in dergelijke geavanceerde dingen, is dit niet de video daarvoor.
Enkele dingen waarover in de video werd gesproken:
- Firesheep laat zien hoe gemakkelijk het kan zijn om openbaar websiteverkeer te bespioneren. Dat kan niet via HTTPS.
- ISP's (en andere internet-tussenpersonen) kunnen knoeien met netwerkverkeer, geen dingen zoals het invoegen van hun eigen advertenties. Zelfs Google zelf. Dat kan niet via HTTPS.
- HTTP / 2-dingen zijn geweldig voor webprestaties, en het is waarschijnlijk dat sommige browsers HTTPS nodig hebben om het te gebruiken.
- Alleen al uw host uw SSL-certificaat laten installeren is waarschijnlijk iets duurder, maar het zal (waarschijnlijk) goed worden gedaan en u minder werk kosten.
- Als er op uw site beveiligde informatie wordt verzonden, zelfs als deze nooit op uw servers terechtkomt of als u deze nooit opslaat, moet uw site HTTPS zijn. Op zijn minst die pagina's met de beveiligde dingen, zoals inlogpagina's of aanmeldingspagina's.
- WordPress heeft een eenvoudige instelling voor het inschakelen van HTTPS voor het admin-gedeelte, waardoor het gemakkelijker is om aan de slag te gaan dan een gebruikersgedeelte van uw site.
- Als je nog niet overal naar HTTPS kunt gaan op het deel van je WordPress-site dat door de gebruiker wordt geconfronteerd, is er een plug-in die helpt om individuele pagina's naar behoefte HTTPS te maken.
- Zodra u HTTPS overal kunt forceren, kunt u de plug-in verwijderen en dit HTAccess-fragment gebruiken.
- Zorg ervoor dat u alle mogelijke instellingen wijzigt om hen te laten weten dat uw site nu http: // is - om doorverwijzingen te voorkomen. Bijvoorbeeld uw CDN en de instellingen in WordPress zelf.
- Google zegt HTTPS-factoren in de zoekresultaten.
- Op een bestaande site met veel inhoud is het misschien wel het meeste werk om "waarschuwingen voor gemengde inhoud" op te schonen. U krijgt niet het veilige groene slot van HTTPS als u bijvoorbeeld via HTTP naar een afbeelding linkt. Erger nog, een script dat is gekoppeld aan onveilig, zal helemaal niet worden uitgevoerd.