Quindi di recente ho ottenuto il mio server web per supportare HTTPS usando il EFF's certbot
Attualmente, se navighi su DotNetRussell.com o www.DotNetRussell.com , il browser utilizzerà HTTP per impostazione predefinita.
Come imponi a un utente di utilizzare HTTPS?
Il mio server è un Raspberry Pi che esegue l'ultima distribuzione e uno stack LAMP che è stato aggiornato di recente. Lo stack LAMP sta eseguendo un sito wordpress aggiornato.
La maggior parte dei siti Web impone l'HTTPS reindirizzando tutte le connessioni HTTP al corrispondente equivalente HTTPS utilizzando una risposta HTTP "Spostata in modo permanente". Questo reindirizza la connessione corrente a HTTPS e tutte le connessioni future, in quanto il browser ricorderà la risposta 301 e agirà di conseguenza. Se stai usando uno stack LAMP, puoi eseguire questo reindirizzamento usando le regole di reindirizzamento di Apache.
Se stai cercando come eseguire questo reindirizzamento, dai un'occhiata a questa risposta su StackOverflow .
Tuttavia, questo è ancora soggetto al MITM. Ad esempio, se un server SSL Strip può intercettare le richieste HTTP, allora potrebbe parlare al tuo server in HTTPS, ma l'utente sta usando HTTP insicuro alla fine
Per prevenire SSL Strip o simili attacchi MITM, dovresti implementare HSTS . In questo modo, se l'utente si connette una volta al tuo sito correttamente (con una connessione non terminata o a un URL HTTPS per il tuo sito), il browser ricorderà automaticamente che tutti gli URL HTTP devono essere convertiti in HTTPS prima di tentare la connessione a il tuo sito.
Nota: una volta che questo accade, l'unico modo per impedire al browser di utilizzare HTTPS è di cancellare la cache del browser, quindi non implementare HSTS se prevedi di interrompere HTTPS per questo sito.
Non so come ottenerli specificamente sul tuo particolare server web. Sono sicuro che gli utenti di Stack Overflow o Server Fault potrebbero aiutarti.