我的WordPress客户端不再需要SSL加密。目前,我在.htaccess以下强制SSL加密:从HTTPS移到HTTP
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www\.(.*)$ [NC]
RewriteRule ^(.*)$ https://%1/$1 [R=301,L]
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
上一页访问者的浏览器会自动尝试为HTTPS,因为301的,我相信。如何在不使前面的访问者遇到问题的情况下转移到HTTP(不安全)?
我想不出有什么好的理由你为什么要这么做;尤其是在2017年有很多因素对你:
你需要仍然保持了有效的SSL证书到位,以便从HTTPS回HTTP重定向。您需要为https,搜索引擎索引,书签等所有入站链接执行此操作。如in this other question所述,如果没有适当的SSL证书,用户会在请求甚至到达您的网站之前发现浏览器警告。 (如果您需要保留SSL证书,那么为什么不正确使用它?)
任何将HTTP缓存到HTTPS 301重定向的浏览器自然会被重定向到HTTPS站点。没有有效的SSL证书,他们会看到浏览器警告。使用有效的SSL证书,用户将被重定向回HTTP(但这也取决于页面/资源是否也被缓存)。但是,这可能会导致(部分)重定向循环 - 根据浏览器的不同,在浏览器解决冲突之前,您可能会收到短暂警告(ERR_TOO_MANY_REDIRECTS)。有些浏览器可能无法解决冲突,因此用户可能会留下一个错误,直到他们手动清除浏览器缓存。
为了最大限度地减少此重定向问题,请将所有缓存减少到最低限度,并在将所有基本重定向更改为302(临时)之前将其移回HTTP。这两者都不是理想的。
Google Chrome当前通过不安全(HTTP)连接输入用户名/密码和/或付款信息时会警告用户。这自然会包括登录到WordPress。您在浏览器地址栏中收到“不安全”消息。 Google计划将此行为扩展到隐身模式(所有网站),并最终以的全部内容。这将使任何网站都很难保持普通的旧HTTP。
见关于Pro Webmasters stack以下相关问题:
而谷歌的安全博客后宣布修改建议:
随着免费/自动化CA的推出,如Let's Encrypt,如果您只是想启用加密,那么这些日子就不是什么钱了。
所以,我认为教育你的客户将是更好的选择。
可能出现[WordPress重定向所有https到http](https:// stackoverflow。com/questions/32855861/wordpress-redirect-all-https-to-http) – Mithc
你的客户为什么要回到HTTP? – MrWhite
只需要鼓起勇气,然后“不”;这种安全性很重要。 – zaph