Redireccionar de http a https

redirigir http a https cloudflare

Estoy leyendo por encima esta página y dice que si un sitio es SSL y el usuario intenta acceder por http normal, la aplicación no debería redirigir al usuario a https. Simplemente debería bloquearlo. ¿Puede alguien verificar la validez de esto? No parece una buena idea, y me pregunto cuál es el riesgo real de simplemente redirigir al usuario a https. Parece que no hay razones técnicas detrás de esto, sólo que es una buena manera de educar al usuario.
Tampoco veo ninguna razón técnica por la que haya que bloquear completamente el HTTP, y muchos sitios sí reenvían HTTP a HTTPS. Al hacer esto es muy recomendable implementar HTTP Strict Transport Security (HSTS), que es un mecanismo de seguridad web que declara que los navegadores sólo deben utilizar conexiones HTTPS.
HSTS se implementa especificando una cabecera de respuesta como Strict-Transport-Security: max-age=31536000. Los agentes de usuario que cumplan con esta norma convertirán automáticamente los enlaces inseguros en enlaces seguros, reduciendo así el riesgo de ataques de tipo man-in-the-middle. Además, si existe el riesgo de que el certificado no sea seguro, por ejemplo, si no se reconoce la autoridad raíz, se mostrará un mensaje de error y no se mostrará la respuesta.

redirigir http a https apache

Como decía en esta pregunta, te sugiero que evites redirigir todas las peticiones HTTP a su equivalente HTTPS a ciegas, ya que puede causarte una falsa impresión de seguridad. En su lugar, probablemente deberías redirigir la “raíz” de tu sitio HTTP a la raíz de tu sitio HTTPS y enlazar desde ahí, sólo a HTTPS.
Por ejemplo, si una de sus páginas servidas sobre HTTPS tiene un formulario que dice <form action=”http://example.com/doSomething”> y envía algunos datos que no deberían ser enviados en claro, el navegador enviará primero la solicitud completa (incluyendo la entidad, si es un POST) al sitio HTTP primero. La redirección se enviará inmediatamente al navegador y, dado que un gran número de usuarios deshabilita o ignora las advertencias, es probable que sea ignorada.
Por supuesto, el error de proporcionar los enlaces que deberían ser para el sitio HTTPS pero que acaban siendo para el sitio HTTP puede causar problemas en cuanto tengas algo escuchando en el puerto HTTP en la misma dirección IP que tu sitio HTTPS. Sin embargo, creo que mantener los dos sitios como un “espejo” sólo aumenta las posibilidades de cometer errores, ya que puede tender a hacer la suposición de que se auto-corregirá redirigiendo al usuario a HTTPS, mientras que a menudo es demasiado tarde. (Hubo discusiones similares en esta pregunta).

redireccionar de http a https htaccess

Agradezco la ayuda. Siempre he querido configurar SSL en un servidor, sólo por la práctica de hacerlo, y finalmente me decidí a hacerlo esta noche. Parece que funciona bien hasta ahora, pero no estoy seguro de si es una buena idea usar esto en todas las páginas. Mi sitio no es de comercio electrónico y no maneja datos sensibles; es principalmente por la apariencia y la emoción de instalarlo para aprender.
La bandera [R] por sí sola es una redirección 302 (Moved Temporarily). Si realmente quieres que la gente use la versión HTTPS de tu sitio (pista: lo quieres), entonces deberías usar [R=301] para una redirección permanente:
Aunque apoyo la idea de los sitios sólo con SSL, diría que un inconveniente es la sobrecarga dependiendo del diseño de su sitio. Me refiero a que, por ejemplo, si está sirviendo muchas imágenes individuales en etiquetas img, esto podría hacer que su sitio funcione mucho más lento. Aconsejaría a cualquier persona que utilice servidores sólo SSL que se asegure de trabajar en lo siguiente.
Pero. ¿Qué pasa si el usuario está a veces en una red no segura (o está cerca de Troy Hunt y su Pineapple)? Entonces el usuario solicitará http://whateversite.com por vieja costumbre. Eso es http. Eso puede ser comprometido. La redirección podría apuntar a https://whateversite.com.some.infrastructure.long.strange.url.hacker.org. Para un usuario ordinario parecería bastante legítimo. Pero el tráfico puede ser interceptado.

redirigir de http a https nginx

Agradezco la ayuda. Siempre he querido configurar SSL en un servidor, sólo por la práctica de hacerlo, y finalmente me decidí a hacerlo esta noche. Parece que funciona bien hasta ahora, pero no estoy seguro de si es una buena idea usar esto en todas las páginas. Mi sitio no es de comercio electrónico y no maneja datos sensibles; es principalmente por la apariencia y la emoción de instalarlo para aprender.
La bandera [R] por sí sola es una redirección 302 (Moved Temporarily). Si realmente quieres que la gente use la versión HTTPS de tu sitio (pista: lo quieres), entonces deberías usar [R=301] para una redirección permanente:
Aunque apoyo la idea de los sitios sólo con SSL, diría que un inconveniente es la sobrecarga dependiendo del diseño de su sitio. Me refiero a que, por ejemplo, si está sirviendo muchas imágenes individuales en etiquetas img, esto podría hacer que su sitio funcione mucho más lento. Aconsejaría a cualquier persona que utilice servidores sólo SSL que se asegure de trabajar en lo siguiente.
Pero. ¿Qué pasa si el usuario está a veces en una red no segura (o está cerca de Troy Hunt y su Pineapple)? Entonces el usuario solicitará http://whateversite.com por vieja costumbre. Eso es http. Eso puede ser comprometido. La redirección podría apuntar a https://whateversite.com.some.infrastructure.long.strange.url.hacker.org. Para un usuario ordinario parecería bastante legítimo. Pero el tráfico puede ser interceptado.

Esta web utiliza cookies propias para su correcto funcionamiento. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Más información
Privacidad