<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jan 13, 2017 at 3:47 PM, Mehdi Amini <span dir="ltr"><<a href="mailto:mehdi.amini@apple.com" target="_blank">mehdi.amini@apple.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><div class="gmail-h5"><br><div><blockquote type="cite"><div>On Jan 13, 2017, at 12:35 PM, James Y Knight via llvm-dev <<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>> wrote:</div><br class="gmail-m_-7473060030479292568Apple-interchange-newline"><div><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Jan 5, 2017 at 5:26 PM, Tanya Lattner via llvm-dev <span dir="ltr"><<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div style="word-wrap:break-word"><div><b>Are you fixing the SSL problem?</b><br></div><div>Yes. The new server will have SSL support for all websites and have an updated certificate. </div><div></div></div></blockquote></div><br></div><div class="gmail_extra">Is there any plan to make the migrated sites SSL-only? That is, have <a href="http://clang.llvm.org/**" target="_blank">http://clang.llvm.org/**</a> <wbr>only serve a redirect to <a href="https://clang.llvm.org/**" target="_blank">https://clang.llvm.org/**</a> <wbr>instead of serving content over http.</div><div class="gmail_extra"><br></div><div class="gmail_extra">If not, that'd be a great thing to add to the plans. :)</div></div></div></blockquote><div><br></div></div></div></div><div>I’m curious: why?</div><div>I understand that you want anything authenticated (bugzilla, …) or the binary/source download, but what’s the reason to use SSL for looking up doxygen or LangRef? (Easier to setup or get it right could be a reason, I don’t know)</div><div></div></div></blockquote></div><br></div><div class="gmail_extra">Well, sure, that's one reason: it's much easier to ensure that everything that matters is properly protected, if you always protect everything. You don't have to think about it anymore, and you won't mess up and accidentally allow unencrypted binary downloads, which puts users at unnecessary risk of tampering when they forget to explicitly type https.</div><div class="gmail_extra"><br></div><div class="gmail_extra"><div class="gmail_extra">Also: do you really want your site's visitors to be running the random javascript that Comcast injects into it? Using https avoids that, too.</div><div><br></div><div>But beyond that: there's no downside. Why should *anyone* continue to serve http traffic? It's just all around better and safer to require https, for everything, always.</div></div></div>