after removing the "s" at the end of the "https" the site simply redirects me to "www.example.com"
Remover manualmente os "s" significa que você está explicitamente visitando http://www.example.com
(ou seja, a versão não SSL) .
Agora, o que acontece é que a maioria dos navegadores oculta a parte http://
na barra de endereços para facilitar a leitura ( http://
é apenas confusão de techno para as pessoas mais comuns). Por isso, ele não exibe o http://
na frente da URL, mas ainda está lá.
Então, na verdade, não está redirecionando você para lugar algum. Na verdade, não existe redirecionamento para www.example.com
sem um prefixo de protocolo como http://
. Se você vir www.example.com
na barra de endereço e selecionar todos os + copy + paste, verá que o prefixo http://
ainda está lá. E se você digitar www.example.com
manualmente sem nenhum prefixo de protocolo, seu navegador assumirá automaticamente um prefixo http://
implícito.
Quanto à parte de vulnerabilidade: qualquer site que lide com informações confidenciais (ou talvez qualquer site em geral, dependendo de como você é paranóico) deve aplicar o SSL, nem mesmo suportar ou permitir visitas por http://
, apenas https://
.
Desde a chegada de Vamos criptografar todos podem usar o SSL em seu site gratuitamente. Então basicamente não há razão não para usar SSL.
Pessoalmente, uso Vamos criptografar em todos os lugares, em todos os sites que eu hospedo ou gerencio. E garanto que todas as visitas não SSL (ou seja, sempre que alguém visitar a página com http://
em vez de https://
) serão redirecionadas automaticamente para a URL https://
correspondente.
Existem maneiras diferentes de fazer isso, mas provavelmente a maneira mais fácil é colocar um arquivo chamado .htaccess
no seu public_html/
dir com este conteúdo:
RewriteEngine On
RewriteCond %{HTTPS} !=on [OR]
RewriteCond %{SERVER_PORT} 80
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L,QSA]
O que isso faz é direcionar qualquer solicitação que não use SSL para a mesma URL com SSL.