Jefferson, 
26 de julho de 2018, 
Eu comecei a discutir o assunto neste post. A Hostgator cuidou da maior parte do problema sem custo adicional para mim, instalando os certificados Let’s Encrypt. Todos os meus domínios ganharam suporte a HTTPS e tudo o que precisei fazer foram alguns ajustes, como editar o arquivo .htaccess na raiz da conta para redirecionar o tráfego HTTP para HTTPS de todos os domínios automaticamente. Encontrei mais de um tutorial que deram dicas completamente erradas que colocaram o meu site em loop de redirecionamento, mas este tutorial até onde pude ver está correto. Eu segui o método manual.
No meu arquivo .htacess eu só precisei acrescentar duas linhas, perto do topo:
|
1 2 |
RewriteCond %{HTTPS} off RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301] |
Só tive um problema com um dos domínios, que ao entrar em modo HTTPS ficava completamente bagunçado, sem carregar totalmente a página. Depois de sentar sobre o problema por dois dias finalmente me lembrei que esse domínio específico tinha a Cloudflare como servidor DNS. Fui nas configurações da minha conta Cloudflare e constatei que estava com o serviço de proxy também ativo para esse domínio. Desativei o proxy e o domínio passou a entrar no modo HTTPS normalmente.
Mas muitas páginas ainda vão acusar segurança comprometida por conteúdo misto. Eu não tenho tempo agora para caçar todas as referências a HTTP e trocar por HTTPS.
As instruções para dizer ao Google que mude meu endereço primário de http para https não funcionaram. O console só me dá a opção de mudar o endereço para outro domínio e não para o mesmo com HTTPS, como sugere o texto.
Um bônus da mudança de todos os meus blogs para HTTPS foi poder desligar a autenticação em duas etapas para o login, que me enchia o saco.
Falei cedo demais. Justamente este blog não está redirecionando automaticamente para https. Ainda não tenho pista do motivo. Inicialmente eu tinha um código no .htaccess do blog que poderia estar provocando isso, mas apaguei e o problema continua.
Eu contornei o problema colocando no .htaccess do blog o mesmo código que coloquei no .htaccess da raiz. Isso não deveria ser necessário mas não tenho tempo para “escovar bits” agora.
Eu desativei o plugin “Sociable” (o que permitia o bookmark no Facebook, G+, Twitter, etc.) porque ele era a razão do Firefox estar avisando que tinha desabilitado conteúdo inseguro nas minhas páginas. O código-fonte me mostrou que todos os links do Sociable eram http://. E não existe versão mais recente.
Bom dia. Seu blog está carregando como https://ryan.com.br/blogs/quicktalk/ apenas o Edge aparece uma informação antes na barra de tarefas: um ponto de exclamação dentro de uma bolinha com a mensagem “Não seguro”. Testei no Firefox e também carrega https://ryan.com.br/blogs/quicktalk/ também com um ponto de exclamação e um cadeadozinho com ouro ponto de exclamação em cima.
O navegador só reclama quando existe mais de um post por página. Experimente abrir um post qualquer que os alertas devem desaparecer.
Algo (talvez um plugin) está inserindo algo no loop que é marcado como inseguro.
Funcionou assim. Valeu…
Não era um plugin, nem era “inserido no loop”. Coincidentemente em cada um dos links que testei havia pelo menos uma imagem com link por http://. No caso da página principal do blog era a imagem da versão jailbait da Olivia D’abo.
Pelo menos aqui na página principal isso foi corrigido.
Ryan… Parece que tem algo de errado com layout desse site, pelo smartphone fica uma mensagem “Escolha como quer ver o blog (tema):
ArcliteAtahualpaBorderPxgreyville” sobre o banner.
Obrigado por me avisar. Essas opções só deveriam aparecer na versão desktop do blog. No momento eu não sei como consertar, mas foi para a fila de coisas para resolver.
Fazendo a pergunta besta, qual a real necessidade do https? Ah… pra abrir aqui hoje deu erro 500 umas 3 vezes, precisei insistir até que carregou.
1) O Google vem penalizando no ranking sites http:// há muito tempo
2) A partir deste mês o Google Chrome vai classificar todo site http:// como “não seguro”. Tenho razoável certeza de que foi por isso que a Hostgator se apressou para dar suporte gratuito a SSL este mês;
3) A única vantagem pessoal que tenho é a proteção das minhas credenciais de login
Falando de forma genérica, eu acho https útil porque aumenta muito a dificuldade para meu provedor de acesso ter um histórico de que páginas eu visito ou, pior, alterar o conteúdo das páginas. Com https meu provedor sabe quando passo o dia no youtube pelo IP, mas não faz idéia de que vídeos estou vendo. Não que eu ache que meu provedor esteja bisbilhotando, mas gosto de saber que tenho privacidade.
A Hostgator vem apresentando uns problemas esquisitos este mês. Acredito que logo eles resolvam isso.
Hmmmm se é o google e o chorume (sim, eu escrevo assim) não é motivo pra que eu arranque os cabelos.
Eu desconfio que no caso de acesso https a sites que usam “shared hosting” como o meu, o provedor não saiba sequer que site está sendo acessado, porque o IP é compartilhado com diversos outros domínios, meus e de terceiros, e o provedor de hospedagem diferencia pelo URL, que é criptografado.