<div dir="ltr">Sorry this is only a partial answer...<div><br></div><div>We can move almost all of that stuff to schemaless urls.  Simply remove "http:" from the URL and they'll automatically switch between http and https.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, May 24, 2017 at 10:24 PM, Jim Klassen <span dir="ltr"><<a href="mailto:klassen.js@gmail.com" target="_blank">klassen.js@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I have enabled https on the *.<a href="http://geomoose.org" rel="noreferrer" target="_blank">geomoose.org</a> sites.  Besides generally<br>
being considered a good idea lately, and Let's Encrypt making it trivial<br>
and free to do so, the motivation is that some features in GeoMoose 3.0,<br>
most notably the "Find Me", are blocked by Chrome if they don't<br>
originate from an a site served by https.<br>
<br>
This does cause some warnings and blocking now from pulling things in<br>
from non-https external sites.<br>
<br>
The FOSS4G image hosted at <a href="http://mapserver.org" rel="noreferrer" target="_blank">mapserver.org</a> has no https equivalent that I<br>
have found.  We could self host as an easy work around.<br>
<br>
The Google maps API in 2.x is pulled in using<br>
<a href="http://maps.googleapis.com" rel="noreferrer" target="_blank">http://maps.googleapis.com</a>  and not <a href="https://maps.googleapis.com" rel="noreferrer" target="_blank">https://maps.googleapis.com</a> (or<br>
//<a href="http://maps.googleapis.com" rel="noreferrer" target="_blank">maps.googleapis.com</a>).<br>
<br>
OpenStreetMap is pulled in from XYZ using http (defined in the mapbook)<br>
<br>
ArcGIS 9.3 Rest Example is pulled in using http.<br>
<br>
Weather Radar is pulled in using http.<br>
<br>
These will require a patches to all the active 2.x series branches so<br>
they are picked up in the demo.<br>
<br>
There is probably more, but this is what I found in a quick test.  I<br>
haven't checked if the remote sites are available over https or not.  If<br>
they are not, are the mixed-content warnings acceptable?<br>
<br>
Other thoughts?<br>
<br>
______________________________<wbr>_________________<br>
geomoose-psc mailing list<br>
<a href="mailto:geomoose-psc@lists.osgeo.org">geomoose-psc@lists.osgeo.org</a><br>
<a href="https://lists.osgeo.org/mailman/listinfo/geomoose-psc" rel="noreferrer" target="_blank">https://lists.osgeo.org/<wbr>mailman/listinfo/geomoose-psc</a></blockquote></div><br></div>