Pitääkö nettisivuja muuttaa mitenkään, kun IIS-palvelimella otetaan sertifikaatti käyttöön?
Sivuilla muutama asp:llä tehty json get ja post juttu, muuten ihan perus html:ää.
Kannattaako tämän jälkeen ottaa http pois käytöstä?
Tarkasta, ettei sivuilla ole mitään kokonaisia http://-alkuisia linkkejä (siis oman sivuston sisällä). Tarkasta, että JS- ja CSS-tiedostoihin ei myöskään ole http://-alkuisia osoitteita (omalle tai muille sivustoille). Laita HTTPS käyttöön ja testaa jonkin aikaa, että sivu varmasti toimii sillä luotettavasti.
Voit ohjata käyttäjät http://-alkuisista osoitteista vastaaviin https://-alkuisiin osoitteisiin. Älä poista HTTP:tä kokonaan käytöstä, koska toistaiseksi selaimet (ainakin Firefox) yrittävät vain HTTP-yhteyttä, jos käyttäjä kirjoittaa osoiteriville vain domainin ilman https://-alkua.
Lopuksi voit parantaa tietoturvaa entisestään ominaisuudella HTTP Strict Transport Security (HSTS). Tässä selaimelle ilmoitetaan, että sivustoa saa käyttää vain salatulla yhteydellä, joten tämän tiedon saatuaan selain ei enää yritä tavallista HTTP-yhteyttä. HSTS laitetaan käyttöön esim. vuodeksi kerrallaan lähettämällä otsikko "Strict-Transport-Security: max-age=31536000".
Voit tarkastaa sivuston SSL-asetusten toimivuuden esimerkiksi tällä nettipalvelulla (Qualys SSL Labs).
Palvelin on tarkoitettu vain ns. oman firman käyttöön.
Kun kaikki palvelinta käyttävät puhelimet ja tabletit on ladanneet
uuden ohjelmaversion joka nyt käyttää https:ää, saavutetaanko mitään
"tietoturvaa" jos http portti ulkomaailmnaan tukitaan palomuurissa?
Jos on varmaa, että porttiin ei ole tulossa mitään asiallista liikennettä, niin kyllä turhat portit kannattaa aina sulkea. Säästää ainakin resursseja, kun botit eivät käy yrittämässä.
Aihe on jo aika vanha, joten et voi enää vastata siihen.