Executamos vários servidores LAMP na AWS com algumas dezenas de sites neles, que os clientes nos pagam para projetar, construir e hospedar. Eles são servidores do Ubuntu 14.04 com Varnish, Apache e PHP.
Atualmente, se um cliente quiser ter SSL / TLS em seu site, colocaremos um balanceador de carga do Amazon ELB na frente do servidor para descarregar a conexão TLS, para que o Varnish ainda possa armazenar em cache o conteúdo. Assim, cada servidor foi liderado por uma meia dúzia de ELBs (um para cada cliente ou site TLS), enquanto sites não-TLS são manipulados diretamente pelo servidor.
Para reduzir custos e facilitar a configuração, queremos eliminar todos os ELBs e encerrar todas as conexões TLS diretamente nos servidores. Isso pode ser facilmente alcançado executando-se um proxy reverso na frente do Varnish, com o Let's Encrypt e o SNI. Algo como Hitch, Traefik ou Nginx.
Alguns sites ainda não estão prontos para o TLS. Eles exigem trabalho para corrigir avisos de conteúdo misto e evitar uma queda de SEO, e nem todos os clientes têm orçamento.
Eu posso abrir a porta 443 em um servidor e executar um proxy reverso com certificados TLS instalados para todos os sites "prontos". Infelizmente, os clientes ainda poderão se conectar a sites "não prontos", embora executem erros de certificado (incompatibilidade de nome comum, auto-assinado, etc.). Não pretendemos vincular às versões HTTPS de sites "não prontos", é claro, mas alguém ainda pode digitar https:// .
Eu quero evitar uma perda na classificação de SEO para todos os sites, principalmente no Google. Fui avisado de que o Googlebot descobrirá a versão HTTPS de sites "não prontos" e os indexará, apesar dos erros de certificado e apesar de não serem anunciados como HTTPS. Isso levaria a uma experiência horrível para os visitantes desses links, bem como a uma séria perda de classificação. Classificação de SEO é difícil de ganhar, mas fácil de perder.
Como o Googlebot (e talvez bots similares) lida com versões HTTPS de sites "não prontos"? Eles serão indexados, apesar de estarem quebrados e não serem anunciados?
Como você atenua os efeitos colaterais indesejados ao ativar parcialmente o HTTPS via SNI?