我的WordPress客戶端不再需要SSL加密。目前,我在.htaccess以下強制SSL加密:從HTTPS移到HTTP
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
上一頁訪問者的瀏覽器會自動嘗試爲HTTPS,因爲301的,我相信。如何在不使前面的訪問者遇到問題的情況下轉移到HTTP(不安全)?
我想不出有什麼好的理由你爲什麼要這麼做;尤其是在2017年有很多因素對你:
你需要仍然保持了有效的SSL證書到位,以便從HTTPS回HTTP重定向。您需要爲https,搜索引擎索引,書籤等所有入站鏈接執行此操作。如in this other question所述,如果沒有適當的SSL證書,用戶會在請求甚至到達您的網站之前發現瀏覽器警告。 (如果您需要保留SSL證書,那麼爲什麼不正確使用它?)
任何將HTTP緩存到HTTPS 301重定向的瀏覽器自然會被重定向到HTTPS站點。沒有有效的SSL證書,他們會看到瀏覽器警告。使用有效的SSL證書,用戶將被重定向回HTTP(但這也取決於頁面/資源是否也被緩存)。但是,這可能會導致(部分)重定向循環 - 根據瀏覽器的不同,在瀏覽器解決衝突之前,您可能會收到短暫警告(ERR_TOO_MANY_REDIRECTS)。有些瀏覽器可能無法解決衝突,因此用戶可能會留下一個錯誤,直到他們手動清除瀏覽器緩存。
爲了最大限度地減少此重定向問題,請將所有緩存減少到最低限度,並在將所有基本重定向更改爲302(臨時)之前將其移回HTTP。這兩者都不是理想的。
Google Chrome當前通過不安全(HTTP)連接輸入用戶名/密碼和/或付款信息時會警告用戶。這自然會包括登錄到WordPress。您在瀏覽器地址欄中收到「不安全」消息。 Google計劃將此行爲擴展到隱身模式(所有網站),並最終以的全部內容。這將使任何網站都很難保持普通的舊HTTP。
見關於Pro Webmasters stack以下相關問題:
而谷歌的安全博客後宣佈修改建議:
隨着免費/自動化CA的推出,如Let's Encrypt,如果您只是想啓用加密,那麼這些日子就不是什麼錢了。
所以,我認爲教育你的客戶將是更好的選擇。
可能出現[WordPress重定向所有https到http](https:// stackoverflow。com/questions/32855861/wordpress-redirect-all-https-to-http) – Mithc
你的客戶爲什麼要回到HTTP? – MrWhite
只需要鼓起勇氣,然後「不」;這種安全性很重要。 – zaph