Вибір домену, який потрібно захистити

У нас є веб-сайт, який обслуговується як www.example.comі просто example.com- ми ніколи не робили будь-якого примушування користувачів з одного домену в інший, так що якщо вони приземляються, example.comто там вони залишаються, і я здогадуюсь про те хто закладкує на наші сторінки, вони мали б приблизно 50/50 розбиття (раніше була проблема про те, де частина нашого матеріалу пропускала WWW, а через роки ми все ще помічаємо розрив трафіку).

Зараз ми додаємо SSL. Ми не змушуємо SSL, поки користувач не потрапить на сторінку входу або реєстрації. На якому домені слід запустити наш SSL?

www.example.com
example.com
secure.example.com
Щось ще?

Раніше я робив багато сайтів SSL, але вони завжди розроблялися з урахуванням SSL, і ми завжди змушували www-піддомен.

Чи є плюси і мінуси зробити це будь-яким із цих способів? Моя головна стурбованість - це розпізнавання файлів cookie, але, оскільки ми примушуємо SSL під час входу, файли cookie сеансу все одно будуть записані в домені SSL'd. Моя головна турбота про людей, до яких можна зайти, https://example.comколи ми запускаємо сайт https://www.example.comтощо.

_{Іншим питанням було б: "Чи слід переписати тих, хто перебуває на веб-сайті, що не є www, на веб-сайт WWW?}

— Марк Хендерсон
джерело

Залежно від того, у кого ви купуєте свій сертифікат, вони можуть безкоштовно надавати вам голий домен як альтернативне ім’я теми. Тож якщо ви купуєте, www.example.comви можете отримати сертифікат, який охоплює і те, www.example.comі example.com.

— Майкл Хемптон

Відповіді:

Зазвичай я йду з secure.domain.comтим, що це дає мені більшу гнучкість щодо адміністрації. Наприклад, я можу помістити цей піддомен на інший сервер, за кращою передачею IDS / IPS і, можливо, приєднати його до приватної мережі, до якої я не хочу, щоб веб-сервери торкалися.

Це гарне місце для паркування багатоцільових речей, таких як:

secure.domain.com/checkout/
secure.domain.com/portal/
secure.domain.com/support/

... і т.д.

— Тім Пост
джерело

У вас коли-небудь виникли проблеми з печивом? Наприклад, якщо на www.example.com створено файл cookie, чи можете ви прочитати його з secure.example.com?

— Марк Хендерсон

@Farseeker: Ви можете встановити файл cookie для .example.com(або example.com, який є однаковим), і він буде працювати як для www.example.com, так і для secure.example.com (з недоліком, що він завжди буде надісланий обом субдоменам) . Ось моя улюблена сторінка на цю тему: code.google.com/p/browsersec/wiki/…

— Кріс Лерчер

@Farseeker - Так, файли cookie поширюються на субдомени, однак якщо ви навіть найменший розумний, це не проблема. Наприклад, cookie-> logged_in / connection-> ssl і т. Д. Це не схоже на CDN, де їх відсутність вигідна, їх просто потрібно спланувати та керувати.

— Tim Post

@Chris, я не знав, що ти можеш встановити файл cookie example.comз www.example.com- мені доведеться розглянути це. Дякую.

— Марк Хендерсон

За допомогою цього рішення ви також можете заборонити secure.example.com у своєму robots.txt. Так +1. :-)

— fwaechter

Особисто я просто використовую сертифікат SSL Plus DigiCert для з example.com та www.example.com. Як і у вашому іншому запитанні, я все одно надішлю всіх на www.example.com, оскільки згодом це полегшує життя. Якщо це зробити зараз, ви також зможете згодом використовувати щось на зразок secure.example.com.

Зазвичай я додаю код, щоб виявити, чи користувачі запускають HTTP, коли вони повинні запускати HTTPS, і перенаправляти їх. Я вважаю, що це трапляється лише під час входу в систему, але залежно від сайту це може траплятися і в інші часи.

— Дарріл Хайн
джерело