Я пробовал этот пример из OpenBSD http://www.openbsd.org/faq/faq10.html#HTTPS
он работает нормально, но с Mozilla Firefox 6.0 можно использовать как http, так и https, в то время как я хочу заставить пользователей использовать только HTTPS. Как я могу этого добиться?
Спасибо!
Вы контролируете это на любом веб-сервере, который вы используете. Вы захотите сделать 301 редирект на свой HTTPS-сайт.
Вы можете ограничить соединения с вашим сайтом, чтобы требовать HTTPS, используя директиву mod_ssl
This directive forbids access unless HTTP over SSL (that is HTTPS) is enabled for the current connection. It is very handy inside the SSL-enabled virtual host or directories as a defense against configuration errors that expose data that should be protected. When this directive is present, all requests that do not use SSL are denied.
В разделе часто задаваемых вопросов, на который вы ссылаетесь, обсуждается настройка вашего веб-сайта для поддержки SSL, директива SSLRequireSSL - это то, что вы использовали бы, чтобы указать ограничения для всего сайта (или конкретных псевдонимов / каталогов на вашем сайте).
Вы можете перенаправить http://example.com/
к https://example.com/
, но это означает, что открытый текст HTTP все еще используется только для отправки HTTP Redirect.
Это подвергает пользователя атакам с помощью таких инструментов, как sslstrip, если он внимательно не проверит каждый раз что домен действительно https://example.com
не http://example.com/
не https://examp1e.com
не https://(insert non-Latin homoglyphs here).com
...
В этом случае вы действительно хотите использовать Строгая безопасность транспорта HTTP:
HTTP Strict Transport Security (HSTS) - это предлагаемый механизм политики веб-безопасности, в котором веб-сервер объявляет, что соответствующие пользовательские агенты (например, веб-браузер) должны взаимодействовать с ним, используя только безопасные соединения (например, HTTPS).
<meta http-equiv="refresh" content="0; url=https://example.com">