Я разрабатываю несколько форм, к которым следует обращаться только через https. У меня есть выделенный сервер со своим сертификатом и всеми хорошими вещами.
Итак, мой вопрос в два раза:
1). Какой лучший способ заставить каждый запрос быть https? Есть ли лучший способ, чем это правило .htacess/mod_rewrite:
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
2). Есть ли какие-либо потенциальные проблемы или недостатки, чтобы заставить все быть https, о которых я должен думать (кроме накладных расходов, которые, похоже, не были бы проблемой)?
Что у вас должно быть хорошо, вот что я использую:
RewriteCond %{HTTPS} !=on
RewriteRule ^/(.*) https://%{SERVER_NAME}/$1 [R,L]
R означает перенаправление вместо перезаписи, а L указывает, что механизм перезаписи не должен выполнять больше перезаписывания.
Я изначально нашел это здесь: Httpd Wiki
Edit:
Я забыл упомянуть директиву SSLRequireSSL, которая заставляет все запросы превышать HTTPS. Подробности можно найти в Apache Documentation.