Ho un sito in esecuzione solo con http. Ho deciso di voler andare in full https, ma non ho idea di come farlo.
Devo acquistare quel certificato da qualche parte? Dove, quanto costa?
Coinvolge cambiamenti nel mio codice attuale? Forms, ajax, ecc.
Devo cambiare qualcosa nella configurazione del mio server? Cosa, come, dove?
Sto eseguendo PHP, ho accesso FTP ai file sul server, posso usare l'ambiente Parallels nel browser per cambiare alcune cose sui server ...
Puoi ottenere un certificato gratuito di classe 1 dal link (non ho alcuna affiliazione con loro oltre al loro utilizzo per il mio SSL gratuito certificati). Non è l'esperienza più facile da usare, ma consente di svolgere il lavoro gratuitamente - nota che il certificato gratuito durerà solo un anno (e non offre gratuitamente funzionalità come i certificati jolly). Ci sono molti altri siti che offrono più funzionalità in altri punti di prezzo.
Non proprio, con alcune eccezioni. Se hai mai codificato un link come http:// nel tuo sito, devi cambiarlo in https:// o semplicemente averlo come link relativo o usare //www.example.com (che sarà equivalente a http://www.example.com se sei su un pagina http e https://www.example.com da una pagina HTTPS. Ciò vale anche per le cose che potresti dimenticare, come il contenuto incorporato: immagini o file CSS o JS caricati al di fuori di una CDN. Probabilmente vuoi anche cookie di sessione per abilitare il flag sicuro.
Sì. Dipenderà dal tuo server web. Dovrà abilitare SSL in esecuzione sulla porta 443, selezionare le crittografie che si desidera consentire, indirizzare il server Web al certificato firmato dalla CA e alla chiave SSL privata associata. Potrebbe essere necessario aggiungere i certificati SSL intermedi al certificato SSL concatenato. Ci sono un sacco di guide e tutorial là fuori; ad esempio, ecco uno per nginx . Dovrai trovare una buona selezione di cifrari e SSL / TLS da consentire. Mozilla mantiene un elenco di cifrari consigliati qui , ti suggerisco di usarlo. Un buon metodo per testare la configurazione è questo strumento di test SSL . Potresti anche voler attivare HSTS (se il tuo sito verrà servito su HTTPS in futuro, questo impedirà di essere servito via HTTP in un attacco MITM). Dovresti anche impostarlo quando prova a passare a http://www.example.com/some/path che reindirizza automaticamente a https://www.example.com/some/path come appropriato (e dovrebbe scegliere se si tratta di un reindirizzamento permanente o temporaneo).