Чи потрібен сертифікат SSL для переадресації?

Наразі у нас встановлений веб-сайт для переадресації на нову адресу (наш клієнт змінив доменні імена, але хоче, щоб старий домен надсилав людей на новий сайт) в IIS 8.5, використовуючи постійні переадресації, знайдені в функції перенаправлення HTTP для сайту.

Сертифікат SSL був розроблений для оновлення для старого домену, і в нашому відділі технічних питань є відкрите питання, чи потрібно його поновити чи ні.

Чи потрібен сайт перенаправлення HTTP в IIS, потрібний сервер SSL? Або відвідувач буде переспрямований перед тим, як перевірити такі речі?

Для перенаправлення з http://old.example.com на https://new.example.com не потрібен сертифікат на old.example.com. Але перенаправлення з https://old.example.com на https://new.example.com робить.

Якщо закладки людей або результати пошуку в пошуковій системі чи інші зовнішні посилання вказують на веб-сайт https, то краще поновіть сертифікат. Якщо ви просто припускаєте, що люди old.example.comвводять у свій браузер, він вам може не знадобиться. (Однак якщо вони були на вашому сайті раніше, і браузер автоматично завершується до https-url, він вам все-таки потрібен).

Як я розумію, у вас уже є перенаправлення на деякий час, найкраще перевірити (як Тім Брігхем уже) ваші веб-журнали та оцінити, чи варто зайвих клопотів. Знову ж таки, навіть якщо з якоїсь причини вам потрібен дорогий сертифікат для вашого основного сайту (наприклад, з розширеною валідацією), сайт для переадресації повинен відповідати одному із загальноприйнятих безкоштовних сертифікатів (startssl, letsencrypt, ...)

Так, вам знадобиться новий сертифікат, якщо перенаправлення буде виконано у відповіді HTTP (код повернення 301 або 302). Якщо ви не переспрямування не буде працювати, відвідувачі старого домену отримають помилку, термін дії сертифікату минув, якщо вони відвідують старий домен через HTTPS.

Поновлення вашого сертифіката - відносно дешева страховка, але це може бути непотрібним.

тл; доктор;

Можливо, вам не знадобиться поновити сертифікат. Багато сайтів досі використовують звичайний http для вхідного трафіку. Якщо старий веб-сайт перерізаний на https лише в кошику чи тому подібне, немає вагомих причин поновити його, особливо якщо перенаправлення вже було деякий час.

Я особисто переглянув журнали IIS на предмет, щоб побачити, чи / скільки запитів до старого домену активно використовують HTTPS і продовжувати звідти.

Припустимо, ви переміщуєте сайт з www.olddomain.com на www.newdomain.com

Щоб відповісти на запит https://www.olddomain.com/, не викликаючи страхітливих попереджень, вам потрібен сертифікат, який охоплює https://www.olddomain.com/ . Це застосовується незалежно від того, відповідь, яку ви хочете надіслати, є переадресацією чи ні.

З іншого боку, на запит http://www.olddomain.com/ можна відповісти, не вимагаючи жодних сертифікатів.

Користувачі, які просто вводять назву вашого сайту, швидше за все, подадуть запит на http://www.olddomain.com/ (якщо ви не використовуєте HSTS), але якщо ваш старий сайт раніше переспрямовував усіх на https, то ймовірно, що закладки та вхідні дані посилання використовуватимуть URL-адресу https. Якщо ваш старий сайт використовував HSTS, то майже всі вхідні запити, ймовірно, будуть на https.

Замість того, щоб мати окремі сертифікати для старого та нового домену, може бути краще мати один сертифікат, який охоплює обидва домени. Це дозволить вам розмістити обидва домени на одній і тій же IP-адресі, не покладаючись на SNI. Недоліком такого підходу є те, що багато ЦА вважають багатодоменність преміальною функцією і відповідно стягують плату.