Kami baru saja pindah ke "HTTPS di mana saja" di sini di CSS-Tricks. Saya menulis posting blog yang merinci langkah-langkah menuju ke sana. Video ini adalah pendampingnya, membahas langkah-langkahnya, karena saya tahu beberapa orang lebih suka gaya itu dan jenis detail yang diberikannya.
Saya harus mencatat bahwa saya bukan ahli dalam hal ini. Saya yakin ada berbagai jenis sertifikat SSL yang dapat diinstal dengan cara berbeda dan menawarkan tingkat keamanan yang berbeda. Saya tidak bisa memberi tahu Anda tentang Heartbleed. Saya bahkan tidak tahu bagaimana Anda mendapatkan jenis sertifikat yang mengatakan nama situs Anda dengan gembok hijau seperti yang dimiliki beberapa situs (misalnya Stripe). Jika Anda tertarik dengan hal-hal lanjutan seperti itu, ini bukan video untuk itu.
Beberapa hal yang dibicarakan dalam video tersebut:
- Firesheep menunjukkan betapa mudahnya mengintip lalu lintas situs web publik. Tidak dapat melakukannya melalui HTTPS.
- ISP (dan perantara internet lainnya) dapat mengacaukan lalu lintas jaringan, bukan hal-hal seperti memasukkan iklan mereka sendiri. Bahkan Google sendiri. Tidak dapat melakukannya melalui HTTPS.
- Barang HTTP / 2 akan sangat bagus untuk kinerja web, dan sepertinya beberapa browser memerlukan HTTPS untuk menggunakannya.
- Hanya meminta host Anda untuk menginstal sertifikat SSL untuk Anda mungkin sedikit lebih mahal tetapi itu (mungkin) akan dilakukan dengan benar dan lebih sedikit pekerjaan di pihak Anda.
- Jika situs Anda memfasilitasi pengiriman informasi aman apa pun, meskipun tidak pernah mengenai server Anda atau Anda tidak pernah menyimpannya, situs Anda harus HTTPS. Setidaknya, halaman-halaman yang memiliki hal-hal yang aman, seperti halaman login atau halaman pendaftaran.
- WordPress memiliki pengaturan sederhana untuk mengaktifkan HTTPS untuk area admin, yang akan lebih mudah berfungsi daripada bagian situs Anda yang menghadap pengguna.
- Jika Anda belum bisa menggunakan HTTPS di mana pun di bagian yang menghadap pengguna dari situs WordPress Anda, ada plugin yang membantu membuat setiap halaman HTTPS sesuai kebutuhan.
- Setelah Anda dapat memaksa HTTPS di mana-mana, Anda dapat membuang plugin dan menggunakan cuplikan HTAccess ini.
- Pastikan Anda mengubah semua pengaturan yang Anda bisa untuk memberi tahu mereka bahwa situs Anda sekarang http: // - untuk menghindari pengalihan. Misalnya, CDN Anda, dan pengaturannya tepat di WordPress itu sendiri.
- Google mengatakan faktor HTTPS ke dalam peringkat pencarian.
- Di situs yang ada dengan banyak konten, mungkin pekerjaan yang paling banyak terlibat adalah membersihkan "peringatan konten campuran". Anda tidak akan mendapatkan kunci hijau aman dari HTTPS jika Anda, misalnya, menautkan ke gambar melalui HTTP. Lebih buruk lagi, skrip yang ditautkan dengan tidak aman tidak akan berjalan sama sekali.