タグ付けされた質問 「https」

私の理解では、これは過度に用心深くなっている例にすぎませんが、私のチェックアウトフォームに安全でない資産が含まれていても、誰かのクレジットカード番号が中間者に捕まる危険はありません。 たまにキャッシュされたコンテンツなどが原因で、この「エラー」が表示されていると誰かが書いているので（私のページに安全でないアセットがない場合でも）説明を求めているので、これを尋ねています。 だから、はい、暗号化と証明書、信頼と中間者についてすべて話すことができます。しかし、私はこれについて彼らに何を伝えますか？サイトが100％安全であると彼らにどのように説得しますか（そしてそれが私が誤っていることを知らされていない場合！）

11 https 

先月、Media Templeのグリッドサーバーでホストされている私のWebサイトのホームページが、Googleのリストにhttps Webサイトとして表示されました。私はsslの追加のセキュリティを要求したり必要としたりしたことがなく、安全な証明書を購入していません。サイトのxml googleサイトマップを送信し、.htaccessリダイレクトを正しいhttpファイルに追加しました。なぜこれが起こっているのか私は途方に暮れています。 何かアドバイスをいただければ幸いです。

11 google  https  mediatemple  grid 

私が構築しているこのサイト（私が作成した最初の重要なサイト）に対して「セキュリティを正しく行う」ことを学ぶことにかなり偏執的で、気になることがあることに気づきました：SSL。 ここ、StackOverflow、およびnを使用した後にセッションIDを再生成すること、およびパスワードをソルト、ハッシュしてプレーンテキストに保存しない方法について詳しく説明しているセキュリティスレッドをたくさん読みました。IPアドレスやユーザーエージェントを追跡したり、追跡Cookieを使用したりして、セッションが乗っ取られたことを検出する方法については、たくさん読んだことがあります。 私が理解していないのは、ウェブサイトが通常のHTTP POSTを介してログインし、プレーンテキストでネットワーク経由でパスワードを送信するときに問題になることです。 私がリストアップした他のすべての方法があなたの全体的な露出を減らすために必要であることを理解しています、そしてとにかくそれほど多くのセキュリティを必要としないいくつかのサイトがあるかもしれませんが、私が求めているものは次のとおりです： SSLに煩わされなくても大丈夫なのはいつですか？ Gmail、あなたの銀行、LinkedInのようなサイト、SSLを使用する理由があるのはわかりますが、Facebookやredditなどのサイトが煩わしくなくても問題ありません（地獄、PlentyOfFishはパスワードをプレーンテキストで保存し、メールで送信することさえします）リマインダーとして毎週あなたに！？！）？ SSLが設定されていることをどの程度気にする必要がありますか（特に、共有ホストから始めて、かなり安く始められるため）。私のサイトは、それが役立つ場合、特に個人情報を保持しません。サイトが成功した場合、私は真剣に追加のセキュリティのために余分に支払うことを検討します。

11 https  security  authentication 

一部のSSL証明書が無料であることはどうですか？どういう意味ですか？彼らは安全ですか？

11 https  security-certificate 

たとえば、Google Analyticsはボイラープレートのdocument.location.protocolを追跡に使用します。 <script type="text/javascript"> var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-XXXXX-X']); _gaq.push(['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })(); </script> の代わりに <script type="text/javascript"> var _gaq = …

11 javascript  google-analytics  https 

ロックされています。この質問とその回答はロックされています。なぜなら、質問はトピックから外れていますが、歴史的に重要だからです。現在、新しい回答や相互作用を受け入れていません。 構築している新しいサイトのSSL証明書が必要で、SSLプロバイダーを選択する必要があります。選択するときに何を探すべきか、そしてそれらを扱うあなたの経験は何ですか？ ありがとう！

11 https  security-certificate 

我々は両方のに役立っているウェブサイトを持っているwww.example.comだけexample.com-私たちは、他の1つのドメインのユーザーを強制するの任意の並べ替えをやったことがない、彼らが上陸そうならばexample.com、彼らが滞在するの、と私はそれらのことを推測していることを、その後私たちのページをブックマークする人は、約50/50に分割されます（以前に一部の資料でWWWが省略されていて、トラフィックの分割にまだ気づいている問題がありました）。 SSLを追加しています。ユーザーがログインページまたは登録ページにアクセスするまで、SSLは強制されません。どのドメインでSSLを実行する必要がありますか？ www.example.com example.com secure.example.com 他に何か？ 私は以前にたくさんのSSLサイトを作成したことがありますが、それらは常にSSLを念頭に置いて設計されており、常にwwwサブドメインを強制しました。 それらの方法のいずれかでそれを行うことの長所と短所はありますか？私の主な関心事はCookieの認識についてですが、ログオン時にSSLを強制しているので、セッションCookieはとにかくSSLされたドメインに書き込まれます。私の主な関心事はhttps://example.com、でサイトを実行しているときにアクセスする可能性がある人々https://www.example.comなどです。 別の質問は、「www以外のサイトにアクセスしたユーザーをWWWサイトに書き直すべきでしょうか？」

11 domains  subdomain  https  security-certificate 

現在、サービスにベータ版APIをデプロイしており、APIからのすべてのリクエスト/レスポンスがhttps経由で機能することを望んでいます。私は両方のためのワイルドカード証明書を使用する方法について混乱しているapiとwwwURLを。両方のために、ワイルドカード証明書を使用することをお勧めしますapi.example.comとwww.example.com？不便はありませんか？ 1サーバーのみの証明書についてはどうですか？ロードバランサーを前面に配置したn台のサーバーにAPIをデプロイしているためです。

11 https  security-certificate 

私はこれでスキーマを持っています： <sitemapindex xmlns="https://www.sitemaps.org/schemas/sitemap/0.9"> 正しいですか、それとも正しいはずですか？ <sitemapindex xmlns="http://www.sitemaps.org/schemas/sitemap/0.9"> すべてのWebページがHTTPS上にある場合

11 https  xml-sitemap  xml  namespace 

私のウェブサイトwww.example.com（SSLが有効）は、Amazon EC2共有ホスティングでホストされています。Wi-Fi /ブロードバンド接続での読み込みが速くなります（読み込み時間<2秒）。問題はモバイル**（H +モードではなくHモード）**の3Gネットワ​​ークにあります。接続フェーズを開始すると、SSLハンドシェイクプロセスにかなりの時間がかかります（12秒）。Chromeネットワークタブでタイミングパラメータを監視した。以下は、ウェブページの測定された読み込みタイミングです。 ページで処理されるデータの種類： テスト済みのWebページは、AJAXを介して5つのキーと値のペアのJSONデータを受信し、Webページに表示します。これは、5〜6個のテキストコンテンツのみを含む非常に軽量なページです。 3Gモバイルネットワーク（Hモード）で多くのWebサイトの読み込みが速くなるのを見てきました。3Gネットワ​​ークでの最初の接続確立フェーズ中に、私のWebサイトが遅すぎます。最初の接続フェーズの遅延を解決/最適化する方法について誰かが私を助けてくれますか？専用ホスティングに移行すると、現在の問題は解決しますか？ Webサーバーはビジーではなく、常に使用可能なCPUとメモリがたくさんあります。 サーバー構成： Amazon EC2インスタンス-共有ホスティング（32 CPUおよび60 GB RAM）。Webサーバー-Apache。SSL-シマンテック。

11 https  performance  page-speed  amazon-aws  load-time 

私は、パブリックコンテンツと登録ユーザー向けの個人用/カスタマイズされたコンテンツを含むかなり標準的なWebサイトで作業しています。ユーザーがログインしているときやクレジットカードの詳細を送信しているときにHTTPSを使用する必要があることはわかっています。サイト全体でHTTPSを使用するだけではいけない理由はありますか？

10 https 

すべてをhttps:// ANDに リダイレクトする書き換えルールが必要ですwww。 たとえばhttp://example.com、https://www.example.com これは私が持っているものです： RewriteEngine On RewriteCond %{SERVER_PORT} !=443 RewriteCond %{HTTP_HOST} ^(www\.)?example\.com$ [NC] RewriteRule ^(.*)$ "https\:\/\/www\.example\.com\/$1" [R=301,L]

10 htaccess  apache  https  mod-rewrite 

1週間ほど前に、自分のサイトの1つでhttpsに切り替えました。私はすべてを正しく行ったと確信しています。301リダイレクトをhttpからhttpsバージョンに正しく設定します。ウェブマスターツールにhttpsバージョンを追加して確認しました。すべての内部リンクを更新しました。新しいサイトマップを送信しました。 それにもかかわらず、私のページの多く（約40％）はほとんどすぐにランキングを失いました。落ちたものは1ページからどこにも行きませんでした。URLを検索すればインデックスが付けられたままですが、それ以外の場合はGoogleがそれらの存在を認識していないようです。 SSL Labsがテストを実行すると「A」が表示され、ウェブマスターツールに手動のアクションが表示されません。 これは本当にイライラします。私は実際にはSSLを必要としませんが、Googleはついに私を怖がらせました。今、私はスイッチを後悔しており、保護されていないURLに戻ることを考えています。 他に見逃していたことはありますか？

9 redirects  301-redirect  https 

ほとんどのフォーラムと同様に、ユーザーが画像を投稿できるフォーラムがあります。サイト全体でHTTPSを設定しましたが、もちろんほとんどの外部画像はHTTPSではなくHTTPを使用してリンクされています。したがって、HTTPS経由でフォーラムをロードすると、混合コンテンツの警告などが表示されます。 この問題に取り組むためのいくつかの戦略は何ですか？一部の画像は自分のサイトのものであり、動作することがわかっているので、HTTPSを使用するようにこれらのURLを書き換えることができます。しかし、外部URLの多くはHTTPSで動作しないため、全面的な書き換えはできません。 保護されていない画像をインライン画像ではなくリンクに書き換えることもできますが、見栄えがよくなく、ユーザーを混乱させる可能性があります。より良い解決策はありますか？

9 https  images 

通常のSSLプロバイダーは200ドル未満のEV証明書を提供しており、B2B eコマースサイトの証明書が1か月で期限切れになることがあります（検証に十分な時間があるはずです）。 200ドルはかなり妥当です（「通常の」証明書の5倍の価格であっても）。私たちはそれを「ただ」行うべきでしょうか？EVを使用することの欠点はありますか？ マーケティング担当者は、IEでブラウザーバーが緑色に変わり、たまたまサイトの配色に完全に一致するので、気に入っています。;） 私たちは銀行ではありませんが、私的で法的な詳細（遺言、事業の譲渡、解約など）を取り扱っています。

9 https  security-certificate