Sì, dovresti. Potrebbe essere necessario testare se ad es. una richiesta particolare funziona su HTTPS, ma il test su un sistema di produzione è un'idea cattiva (il sistema di produzione dovrebbe rimanere stabile) e il sistema di test dovrebbe corrispondere il più possibile al sistema di produzione. In secondo luogo, se stai condividendo i dettagli di accesso tra domini, perché non dovrebbe essere protetto anche il dominio di prova?
Se il prezzo del certificato è un problema, ciò che puoi fare è:
I have a second domain with the same content (including login credentials) that I use only for test and development.
Se il secondo dominio fornisce lo stesso contenuto e ha le stesse credenziali di accesso ed è accessibile anche da Internet, non c'è motivo per cui non dovrebbe ottenere la stessa protezione (cioè SSL) come primo dominio.
Non solo dovresti utilizzare SSL per i tuoi domini di test, ma hai bisogno di se vuoi abilitare le funzionalità di sicurezza come HSTS Preloading .
Dovresti. Questa è la risposta breve.
Nella risposta più lunga, Sareste sorpresi di sapere quante volte le vulnerabilità di sicurezza si verificano dagli utenti interni di un'organizzazione. Ad esempio, se il tuo ambiente di prova ha credenziali di amministratore, un livello di trasporto non protetto significa che qualcuno della tua organizzazione (che non è un amministratore autorizzato) può potenzialmente annusare e ottenere le credenziali di amministratore, che tu non vuoi.
Se il costo del certificato è un problema, puoi sempre avere un certificato autofirmato emesso. Ma dovresti assicurarti che questa autorità di firma (chi sta generando questo certificato interno per te) sia installata come CA attendibile sui desktop di test. Altrimenti il tuo browser potrebbe generare un errore che questo certificato è firmato da qualcuno non fidato. Se esegui "certmgr.msc" in Windows, puoi visualizzare le CA di fiducia per qualsiasi computer specifico.
Sì ... il test è valido solo se simula l'ambiente di produzione, compreso il modo in cui viene eseguito su https. I cerattivi con caratteri jolly sono abbastanza economici, quindi inserisci il dominio di prova in un sottodominio. Probabilmente il dominio del test non dovrebbe essere pubblico, a meno che il client non abbia bisogno di accedervi da IP casuali, altrimenti bloccarlo nel proprio intervallo IP nel virtualhost o nel firewall. Inoltre è un buon modo per assicurarsi che tutti i contenuti del tuo sito web siano disponibili su https.
Ne hai sicuramente bisogno a scopo di test. Abbiamo avuto situazioni in cui il comportamento del nostro sistema era diverso su SSL da una connessione non sicura.
Per motivi di sicurezza non è necessario, dal momento che è possibile spostare gli ambienti di test dietro VPN.
Leggi altre domande sui tag tls