255 votos

¿Es malo redirigir http a https.

Acabo de instalar un Certificado SSL en mi servidor. Yo uso un web hosting panel de ZPanel que es un proyecto de código abierto.

Que, a continuación, configurar una redirección para todo el tráfico en mi dominio en el Puerto 80 para redirigir al Puerto 443.

En otras palabras, todos mis http://example.com el tráfico es ahora redirige a la adecuada https://example.com versión de la página.

La redirección es hecho en mi Virtual en Apache archivo Hosts con algo como esto...

RewriteEngine on
ReWriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R,L] 

Mi pregunta es, ¿hay alguna desventaja para el uso de SSL?

Dado que este no es un Redireccionamiento 301, voy a perder el jugo de enlace/ranking en los motores de búsqueda por el cambio a https?

Agradezco la ayuda. Siempre he querido configurar SSL en un servidor, sólo para la práctica de hacerlo, y finalmente me decidí a hacerlo esta noche. Parece estar funcionando bien hasta ahora, pero no estoy seguro de si es una buena idea usar esta en cada página. Mi sitio no es de comercio electrónico y no se manejan datos sensibles; es principalmente para las miradas y la emoción de la instalación para el aprendizaje.


ACTUALIZADO PROBLEMA

Extrañamente Bing crea esta captura de pantalla de mi sitio ahora que es el uso de HTTPS en todas partes...

enter image description here

321voto

Shlomi Fish Puntos 1951

El [R] indicador en sí mismo es un 302 redirección (Moved Temporarily). Si usted realmente quiere la gente usando HTTPS versión de su sitio (sugerencia: hacer), entonces usted debe utilizar [R=301] para una redirección permanente:

RewriteEngine on
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [NC,R=301,L] 

Un 301 mantiene toda su google-fu y duro-ganado pagerank intacta. Asegúrese mod_rewrite está habilitado:

a2enmod rewrite

Para responder a su pregunta exacta:

Es malo para redirección de http a https?

El infierno no. Es muy buena.

51voto

TheBritishGeek Puntos 527

Aunque apoyo la idea de SSL sólo sitios, yo diría que una desventaja es que los gastos generales según el diseño de su sitio. Me refiero, por ejemplo, si usted está sirviendo un montón de imágenes individuales en las etiquetas img, esto podría causar que su sitio para correr mucho más lento. Yo aconsejaría a cualquier persona que utilice SSL únicamente a los servidores para asegurarse de que trabajar en la siguiente.

  1. Revisar todo el sitio de enlaces internos y asegurar que todos ellos están usando HTTPS si usted específicos de su propio nombre de dominio en los enlaces, por lo que no son la causa de su propia redirecciones.
  2. Actualización de su <meta property="og:url" a la utilización de la versión https de su dominio.
  3. Si utilizas <base href= nuevo update para el uso de HTTPS.
  4. Instalar el protocolo SPDY si es posible
  5. Asegúrese de utilizar la Imagen CSS sprites donde sea posible, para reducir el número de solicitud.
  6. Actualización de sus sitemaps para indicar https estado, por lo que las arañas a lo largo del tiempo a aprender este cambio.
  7. Cambiar el Motor de Búsqueda de preferencias como Herramientas para Webmasters de Google para preferir HTTPS
  8. Donde sea posible cargar cualquier stactic medios de comunicación HTTPS CDN servidores.

Si lo anterior es dirigida, entonces dudo de que va a tener muchos problemas.

38voto

Dwain Dorfus Puntos 11

Me has configurado https entonces usted debe utilizar en todas partes en el sitio. Se evitará el riesgo de que una mezcla de contenido temas y si usted tiene las herramientas necesarias en su lugar, ¿por qué no hacer todo el sitio seguro?

Con respecto a la redirección de http a https, la respuesta no es tan simple.

Redirigir hará que sea mucho más fácil para sus usuarios, que sólo tienes que escribir en whateversite.com y se redirige a https.

Pero. ¿Y si el usuario es, a veces, en una red insegura (o está cerca de Troy Hunt y su Piña)? A continuación, el usuario solicitará http://whateversite.com fuera de los viejos hábitos. Que es http. Que puede ser comprometida. La redirección podría señalar https://whateversite.com.some.infrastructure.long.strange.url.hacker.org. Para un usuario normal se vería muy de fiar. Pero el tráfico puede ser interceptada.

Así tenemos a la competencia de los requisitos aquí: Para ser de uso fácil y seguro. Afortunadamente, hay un remedio llamado la HSTS encabezado. Con él usted puede habilitar la redirección. El navegador se mueve a través del sitio seguro, pero gracias a la HSTS encabezado también recuerde. Cuando el usuario escribe en whateversite.com sentado en esa red no segura, el navegador va a ir a https derecho, sin necesidad de saltar a través de la redirección a través de http. A menos que lidiar con datos muy sensibles, creo que es un justo equilibrio entre seguridad y usabilidad para la mayoría de los sitios. (Cuando recientemente configurar una aplicación de manejo de registros médicos salieron a por todas https sin una redirección). Por desgracia, Internet Explorer no tiene soporte para HSTS (fuente), así que si tu público objetivo es principalmente el uso de IE y de los datos sensibles es posible que desee deshabilitar las redirecciones.

Así que si no eres dirigidos a los usuarios de netscape, vaya por delante y el uso de redirección, pero permitir que el HSTS encabezado.

21voto

Calrion Puntos 411

No hay nada malo con esto, y de hecho es la mejor práctica (para los sitios que debe ser servido a través de una conexión segura). De hecho, lo que estamos haciendo es bastante similar a la configuración que estoy usando:

<VirtualHost 10.2.3.40:80>
  ServerAdmin me@example.com
  ServerName secure.example.com
  RedirectMatch 301 (.*) https://secure.example.com$1
</VirtualHost>

# Insert 10.2.3.40:443 virtual host here :)

El 301 código de estado indica una permanente redirigir, capaz de instruir a los clientes el uso de la dirección URL segura para el futuro de las conexiones (por ejemplo, actualizar el marcador).

Si sólo va a servir el sitio a través de SSL/TLS, me gustaría recomendar una nueva directriz para habilitar HTTP Strict Transport Security (HSTS) en su seguro de host virtual:

<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=1234; includeSubdomains"
</IfModule>

Este encabezado indica capaz clientes (la mayoría de ellos en estos días, creo) que se debe utilizar sólo HTTPS con el dominio (secure.example.com, en este caso) para la próxima 1234 segundos. El ; includeSubdomains parte es opcional e indica que la directiva no se aplica sólo para el dominio actual, pero los menores (por ejemplo, alpha.secure.example.com). Tenga en cuenta que el HSTS encabezado es sólo aceptado por los navegadores cuando se sirve a través de una conexión de SSL/TLS!

Para probar la configuración del servidor en contra de las mejores prácticas actuales, un buen recurso libre es el Qualys SSL de Servidor de Prueba de servicio; me gustaría ser el objetivo de la puntuación de al menos Un (usted no puede conseguir más que con Apache 2.2, debido a la falta de apoyo para la criptografía de curva elíptica).

5voto

krisFR Puntos 5107

¡ Wow! redirección HTTP a HTTPS es una cosa muy buena y no veo ningún inconvenientes por eso.

Sólo asegúrese de que sus clientes tienen el derecho CA para evitar advertencias no amigable sobre certificado en navegador.

Además, la forma que tiene configuración de Apache para redirigir a HTTPS parece aceptable.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X