¿Cómo convertir el sitio http a https completo? [cerrado]

9

Tengo un sitio que se ejecuta solo con http. He decidido que quiero ir a https completos, pero no tengo idea de cómo hacerlo.

  1. ¿Tengo que comprar ese certificado en algún lugar? ¿Dónde, cuánto cuesta?

  2. ¿Implica cambios en mi código real? Formularios, ajax, etc.

  3. ¿Tengo que cambiar algo en la configuración de mi servidor? ¿Qué, cómo, dónde?

Estoy ejecutando PHP, tengo acceso FTP a los archivos en el servidor, puedo usar el entorno de Parallels en el navegador para cambiar algunas cosas en los servidores ...

    
pregunta user3702861 09.08.2014 - 11:14
fuente

1 respuesta

8
  1. Puede obtener un certificado gratuito de clase 1 de enlace (no tengo ninguna afiliación con ellos, aparte de usarlos para mi SSL gratuito certificados). No es la experiencia más fácil de usar para el usuario, pero hace el trabajo gratis. Tenga en cuenta que el certificado gratuito solo durará un año (y no ofrece características como certificados comodín de forma gratuita). Hay muchos otros sitios que ofrecen más funciones en otros puntos de precio.

  2. En realidad no, con algunas excepciones. Si alguna vez codifica un enlace como http:// en su sitio, debe cambiarlo a https:// o simplemente tenerlo como un enlace relativo o usar //www.example.com (que será equivalente a http://www.example.com si está en un La página http y https://www.example.com desde una página HTTPS. Esto también se aplica a cosas que puede olvidar, como contenido incrustado: imágenes o archivos CSS o JS cargados en un CDN. Probablemente también desee que las cookies de sesión tengan el indicador de seguridad habilitado.

  3. Sí. Dependerá de su servidor web. Deberá habilitar la ejecución de SSL en el puerto 443, seleccionar los cifrados que desea permitir, apuntar su servidor web a su certificado firmado por la CA, así como a la clave privada de SSL asociada. Es posible que deba agregar los certificados SSL intermedios a su certificado SSL encadenado. Hay un montón de guías y tutoriales por ahí; por ejemplo, aquí hay uno para nginx . Usted querrá encontrar una buena selección de cifrados y SSL / TLS para permitir. Mozilla mantiene una lista de cifrados recomendados aquí , le sugiero que la use. Una buena manera de probar su configuración es esta herramienta de prueba SSL . También es posible que desee activar HSTS (si su sitio solo se servirá a través de HTTPS en el futuro; esto evitará que se sirva a través de HTTP en un ataque MITM). También debe configurarlo para que cuando intente ir a http://www.example.com/some/path redirija automáticamente a https://www.example.com/some/path según corresponda (y debe elegir si se trata de una redirección permanente o temporal).

respondido por el dr jimbob 09.08.2014 - 11:37
fuente

Lea otras preguntas en las etiquetas