Recentemente, mudamos para “HTTPS em todos os lugares” aqui mesmo no CSS-Tricks. Eu escrevi uma postagem no blog detalhando as etapas para chegar lá. Esse vídeo é um complemento, falando pelos passos, pois sei que tem gente que prefere esse estilo e o tipo de detalhe que ele oferece.
Devo observar que não sou um especialista nessas coisas. Tenho certeza de que existem diferentes tipos de certificados SSL que podem ser instalados de maneiras diferentes e que oferecem diferentes níveis de segurança. Eu não posso te falar sobre Heartbleed. Eu nem sei como você consegue o tipo de certificado onde está escrito o nome do seu site pelo cadeado verde como alguns sites têm (por exemplo, Stripe). Se você está interessado em coisas avançadas como essa, este não é o vídeo para isso.
Algumas coisas faladas no vídeo:
- Firesheep mostra como pode ser fácil espiar o tráfego de um site público. Não posso fazer isso por HTTPS.
- Os ISPs (e outros intermediários da Internet) podem bagunçar o tráfego da rede, não faça coisas como inserir seus próprios anúncios. Até o próprio Google. Não posso fazer isso por HTTPS.
- O HTTP / 2 será excelente para o desempenho da web e é provável que alguns navegadores exijam HTTPS para usá-lo.
- Apenas fazer com que seu host instale o certificado SSL para você provavelmente é um pouco mais caro, mas (provavelmente) será feito da maneira certa e terá menos trabalho de sua parte.
- Se o seu site facilita a transmissão de qualquer informação segura, mesmo que nunca chegue aos seus servidores ou você nunca a armazene, o seu site deve ser HTTPS. No mínimo, aquelas páginas que possuem o material seguro, como páginas de login ou páginas de inscrição.
- O WordPress tem uma configuração simples para ativar o HTTPS para a área de administração, o que será mais fácil de trabalhar do que a parte voltada para o usuário do seu site.
- Se você ainda não pode acessar HTTPS em todos os lugares na parte voltada para o usuário de seu site WordPress, existe um plug-in que ajuda a tornar HTTPS páginas individuais conforme necessário.
- Depois de forçar HTTPS em todos os lugares, você pode abandonar o plug-in e usar este snippet HTAccess.
- Certifique-se de alterar todas as configurações possíveis para que saibam que seu site agora é http: // - para evitar redirecionamentos. Por exemplo, seu CDN e as configurações no próprio WordPress.
- O Google diz que os fatores HTTPS nos rankings de busca.
- Em um site existente com muito conteúdo, talvez o maior trabalho envolvido seja limpar “avisos de conteúdo misto”. Você não obtém o cadeado verde seguro de HTTPS se, por exemplo, vincular a uma imagem por HTTP. Pior, um script vinculado a inseguramente não será executado.