É verdade que os recursos nas páginas da Web HTTPS também devem ser veiculados por meio do HTTPS, mas há motivos para não forçar o servidor da Web a enviar todas as solicitações para HTTPS para todas as solicitações HTTP recebidas para esse domínio, mas continuar permitindo HTTP Acesso.
- Como uma falha segura para contratempos de configuração de https
- Para oferecer suporte a clientes que não têm suporte a https
- Prefiro deixar a aplicação do HTTPS para ativos dentro de HTML veiculados por HTTPS na Camada de Aplicativo e não tente impor na Camada de Configuração do Servidor
Esta questão confronta as pessoas ao executar o Certbot / Vamos Criptografar ferramentas para criar Certificados Livres SSL HTTPS e configurar o Servidor Web Nginx ou Apache. Os servidores da Web fornecem mecanismos para forçar os clientes que solicitam http a redirecionar para a versão https.
Para uso geral, é provavelmente mais seguro e simples permitir o redirecionamento para https e forçado a usar https. Apenas tenha em mente que há casos que podem exigir um desvio desse padrão.