Оптимально ли принудительно использовать SSL на моем сайте на уровне CDN, веб-сервера или кода?
Мы реализуем правило перенаправления, чтобы направить наш трафик на SSL. Мне было интересно, какой был наиболее оптимальный способ принудительно передать весь трафик на SSL? В нашей архитектуре есть CDN (Akamai), который находится перед ELB, который находится перед нашим сервером веб-приложений (tomcat).
Сделайте это в Акамай. Чем ближе к краю происходит перенаправление, тем быстрее будет время ответа на запрос для ваших пользователей.
https://blogs.akamai.com/2016/02/redirecting-on-the-edge.html
Если вы уверены, что можете обслуживать весь свой домен через HTTPS сейчас и в будущем, вам также следует рассмотреть возможность включения HSTS. Это будет означать, что только первые посетители получат перенаправление HTTP-> HTTPS, затем заголовок HSTS будет кэширован в браузере, и после этого все запросы будут автоматически обновлены браузером до HTTPS до того, как запрос будет инициирован.