В настоящее время наш сайт перенаправляет запросы, отправленные на http://example.com к https://example.com - все остальное обслуживается через SSL. На данный момент перенаправление выполняется с помощью правила перезаписи Apache.
Однако наш сайт имеет дело с деньгами, поэтому безопасность очень важна. Представляет ли разрешение HTTP таким образом больший риск безопасности, чем просто не открывать или не прослушивать порт 80? В идеале перенаправление будет немного удобнее.
(Я знаю, что SSL - лишь одно из множества соображений безопасности, поэтому сделайте великодушное предположение, что мы проделали, по крайней мере, «очень хорошую» работу по охвату различных основ безопасности.)
Вы поступаете правильно, перенаправляя http на https (при условии, что вы используете редирект 301).
Еще одна вещь, о которой вам следует серьезно подумать, - это включить Строгая транспортная безопасность чтобы браузеры знали, что это веб-сайт, к которому они должны подключаться только через https.
Это на самом деле жестяная банка создать проблему безопасности, если все сделано неправильно, но, учитывая, что крупнейшие банки и финансовые компании в мире [эффективно] делают это для своих онлайн-сервисов, я думаю, вы в безопасности или, по крайней мере, в хорошей компании.
У Stack Overflow есть более старая ветка по теме, и, как было замечено, вы хотите убедиться, что вы включили HSTS, в противном случае есть потенциальные проблемы с атаками MiTM и потенциальным захватом сеанса.
И, кстати, рекомендуемый способ сделать это - использовать VirtualHost правило, а не mod_rewrite.