Recientemente nos mudamos a "HTTPS en todas partes" aquí mismo en CSS-Tricks. Escribí una publicación de blog detallando los pasos para llegar allí. Este video es un complemento de eso, hablando de los pasos, ya que sé que algunas personas prefieren ese estilo y el tipo de detalle que ofrece.
Debo señalar que no soy un experto en este tema. Estoy seguro de que existen distintos tipos de certificados SSL que se pueden instalar de distintas formas y que ofrecen distintos niveles de seguridad. No puedo contarte sobre Heartbleed. Ni siquiera sé cómo se obtiene el tipo de certificado en el que dice el nombre de su sitio con el candado verde como algunos sitios (por ejemplo, Stripe). Si está interesado en cosas avanzadas como esa, este no es el video para eso.
Algunas cosas de las que se habló en el video:
- Firesheep muestra lo fácil que puede ser espiar el tráfico de un sitio web público. No se puede hacer eso a través de HTTPS.
- Los ISP (y otros intermediarios de Internet) pueden meterse con el tráfico de la red, no cosas como insertar sus propios anuncios. Incluso el propio Google. No se puede hacer eso a través de HTTPS.
- Las cosas de HTTP / 2 serán increíbles para el rendimiento web, y es probable que algunos navegadores requieran HTTPS para usarlo.
- El simple hecho de hacer que su host instale su certificado SSL probablemente sea un poco más costoso, pero (probablemente) se hará bien y será menos trabajo de su parte.
- Si su sitio permite la transmisión de información segura, incluso si nunca llega a sus servidores o si nunca la almacena, su sitio debe ser HTTPS. Por lo menos, aquellas páginas que tienen cosas seguras, como páginas de inicio de sesión o páginas de registro.
- WordPress tiene una configuración simple para activar HTTPS para el área de administración, que será más fácil de poner en funcionamiento que la parte de su sitio orientada al usuario.
- Si aún no puede usar HTTPS en todas partes de la parte de cara al usuario de su sitio de WordPress, hay un complemento que ayuda a que las páginas individuales sean HTTPS según sea necesario.
- Una vez que pueda forzar HTTPS en todas partes, puede deshacerse del complemento y usar este fragmento de HTAccess.
- Asegúrese de cambiar todas las configuraciones posibles para que sepan que su sitio ahora es http: // - para evitar redireccionamientos. Por ejemplo, su CDN y la configuración directamente en WordPress.
- Google dice que HTTPS influye en los rankings de búsqueda.
- En un sitio existente con mucho contenido, quizás la mayor parte del trabajo involucrado será la limpieza de "advertencias de contenido mixto". No obtiene el candado verde seguro de HTTPS si, por ejemplo, se vincula a una imagen a través de HTTP. Peor aún, un script vinculado de forma insegura no se ejecutará en absoluto.