Est-il mauvais de rediriger http vers https ?

Bien que je sois favorable à l'idée de sites SSL uniquement, je dirais que l'inconvénient réside dans les frais généraux qui dépendent de la conception du site. Je veux dire par exemple que si vous servez beaucoup d'images individuelles dans des balises img, cela peut ralentir considérablement le fonctionnement de votre site. Je conseillerais à toute personne utilisant des serveurs SSL uniquement de s'assurer qu'elle travaille sur les points suivants.

1. Vérifiez l'ensemble du site pour les liens internes et assurez-vous qu'ils utilisent tous HTTPS si vous spécifiez votre propre nom de domaine dans les liens, afin de ne pas provoquer vos propres redirections.
2. Mettez à jour votre <meta property="og:url" pour utiliser la version https de votre domaine.
3. Si vous utilisez <base href= mettre à nouveau à jour pour utiliser HTTPS.
4. Installer Protocole SPDY si possible
5. Veillez à utiliser des sprites d'image CSS lorsque cela est possible, afin de réduire le nombre de requêtes.
6. Mettez à jour vos sitemaps pour indiquer le statut https, afin que les araignées apprennent ce changement au fil du temps.
7. Modifiez les préférences des moteurs de recherche, comme Google Webmaster Tools, pour qu'ils préfèrent les HTTPS.
8. Dans la mesure du possible, déchargez tout média statique sur des serveurs CDN HTTPS.

Si ce qui précède est pris en compte, je doute que vous ayez beaucoup de problèmes.

Si vous avez mis en place le protocole https, vous devez l'utiliser partout sur le site. Vous éviterez le risque de problèmes de contenu mixte et si vous disposez des outils nécessaires, pourquoi ne pas sécuriser l'ensemble du site ?

En ce qui concerne la redirection de http vers https, la réponse n'est pas aussi simple.

La redirection facilitera grandement la tâche de vos utilisateurs. Il leur suffira de taper whateversite.com pour être redirigés vers https.

Mais. Que se passe-t-il si l'utilisateur se trouve parfois sur un réseau non sécurisé (ou est proche de Troy Hunt et son ananas ) ? L'utilisateur demandera alors http://whateversite.com par vieille habitude. C'est le http. Cela peut être compromis. La redirection pourrait pointer vers https://whateversite.com.some.infrastructure.long.strange.url.hacker.org . Pour un utilisateur ordinaire, cela semblerait tout à fait légitime. Mais le trafic peut être intercepté.

Nous avons donc deux exigences contradictoires ici : être facile à utiliser et être sécurisé. Heureusement, il existe un remède appelé En-tête HSTS . Avec lui, vous pouvez activer la redirection. Le navigateur se déplacera vers le site sécurisé, mais grâce à l'en-tête HSTS, il s'en souviendra également. Lorsque l'utilisateur tape whateversite.com sur ce réseau non sécurisé, le navigateur passe immédiatement à https, sans passer par la redirection sur http. À moins que vous ne traitiez des données très sensibles, je pense que c'est un bon compromis entre sécurité et convivialité pour la plupart des sites. (Lorsque j'ai récemment mis en place une application traitant des dossiers médicaux, je suis passé en https sans redirection). Malheureusement, Internet Explorer ne prend pas en charge le HSTS ( source ). Par conséquent, si votre public cible utilise principalement IE et que les données sont sensibles, il est préférable de désactiver les redirections.

Donc, si vous ne ciblez pas les utilisateurs d'IE, utilisez la redirection, mais activez également l'en-tête HSTS.

Il n'y a rien de mal à cela, et c'est même la meilleure pratique (pour les sites qui debe être servie par une connexion sécurisée). En fait, ce que vous faites est assez similaire à la configuration que j'utilise :

<VirtualHost 10.2.3.40:80>
  ServerAdmin me@example.com
  ServerName secure.example.com
  RedirectMatch 301 (.*) https://secure.example.com$1
</VirtualHost>

# Insert 10.2.3.40:443 virtual host here :)

En 301 Le code de statut indique un permanent rediriger, en indiquant aux clients capables d'utiliser l'URL sécurisée pour les futures connexions (par exemple, mettre à jour le signet).

Si vous n'avez l'intention de servir le site qu'avec TLS/SSL, je recommande d'ajouter une directive supplémentaire pour activer HTTP Sécurité stricte des transports (HSTS) dans votre sécurisé hôte virtuel :

<IfModule mod_headers.c>
  Header set Strict-Transport-Security "max-age=1234; includeSubdomains"
</IfModule>

Cet en-tête indique aux clients compétents (la plupart de nos jours, je crois) qu'ils doivent utiliser uniquement HTTPS avec le domaine fourni ( secure.example.com dans ce cas) pour le prochain 1234 secondes. Le site ; includeSubdomains la partie est en option et indique que la directive s'applique non seulement au domaine actuel, mais aussi à tous ceux qui lui sont subordonnés (par ex. alpha.secure.example.com ). Notez que l'en-tête HSTS est nur acceptés par les navigateurs lorsqu'ils sont servis via une connexion SSL/TLS !

Pour tester votre configuration de serveur par rapport aux meilleures pratiques actuelles, une bonne ressource gratuite est la suivante Test de serveur SSL de Qualys Je viserais à obtenir au moins un A- (vous ne pouvez pas obtenir plus que cela avec Apache 2.2 en raison de l'absence de support pour la cryptographie à courbe elliptique).

Wow ! rediriger HTTP vers HTTPS est une très bonne chose et je ne vois aucun inconvénient à cela.

Assurez-vous simplement que vos clients disposent de la bonne autorité de certification pour éviter les avertissements non conviviaux concernant le certificat dans le navigateur.

En outre, la façon dont vous avez configuré Apache pour rediriger vers HTTPS semble correcte.