В современном вебе стоит использовать HTTPS, и желательно настроить автоматический редирект на HTTPS, если у пользователя достаточно свежий браузер. Предлагаю конфиг для Apache, который используется на моих сайтах с 2020 года, пройдя через несколько небольших доработок.
Фишки этого конфига:
- Автоматическое удаление или добавление WWW из хоста.
- Если сайт открыт через HTTPS, то автоматически настраивается Upgrade-Insecure-Requests (все ресурсы, ссылки на которые указаны через HTTP, будут всё равно загружены через HTTPS) и Strict-Transport-Security (браузер всегда будет открывать сайт по HTTPS).
- Если браузер слишком старый и не поддерживает Upgrade-Insecure-Requests или Let's Encrypt, то редирект на HTTPS не производится, сайт продолжает работать по HTTP.
- Пользователь может установить принудительный редирект на HTTPS (forcessl=1), принудительно отключить редирект (forcessl=0), или вернуть автоматический режим (forcessl=auto), передав любой странице по любому протоколу параметр forcessl с нужным значением. Выбор запоминается в cookies.