È necessario un certificato SSL per i reindirizzamenti?


12

Al momento disponiamo di un sito Web impostato per reindirizzare a un nuovo indirizzo (il nostro client ha cambiato i nomi di dominio, ma desidera che il vecchio dominio invii le persone al nuovo sito) in IIS 8.5 utilizzando reindirizzamenti permanenti trovati nella funzione "Reindirizzamento HTTP" per il sito.

Il certificato SSL è stato rinnovato per il vecchio dominio e nel nostro dipartimento tecnico esiste una domanda aperta sull'opportunità o meno di rinnovarlo.

Con il reindirizzamento HTTP impostato in IIS, il sito necessita di un certificato SSL? O un visitatore verrà reindirizzato prima che tali cose vengano controllate?

Risposte:


19

Un reindirizzamento da http://old.example.com a https://new.example.com non richiede un certificato per old.example.com. Ma un reindirizzamento da https://old.example.com a https://new.example.com lo fa.

Se i segnalibri delle persone o i risultati di ricerca dei motori di ricerca o altri collegamenti esterni puntano al sito https, è meglio rinnovare il certificato. Se supponi semplicemente che le persone digitino old.example.comnel proprio browser, potresti non averne bisogno. (Tuttavia, se si trovavano sul tuo sito prima e il browser si completa automaticamente in https-url, ne hai ancora bisogno).

Da quanto ho capito hai già il reindirizzamento in atto da un po 'di tempo, la cosa migliore da controllare (come ha già detto Tim Brigham) i tuoi log web e valutare se vale la pena. Poi di nuovo, anche se per qualche motivo hai bisogno di un certificato costoso per il tuo sito principale (ad esempio, con Extended Validation), il sito di reindirizzamento dovrebbe andare bene con uno dei certs gratuiti generalmente accettati (startsl, letsencrypt, ...)


3
O se old.example.com utilizzava HSTS.
Damian Yerrick,

@DamianYerrick Solo per chiarire, HSTS richiede old.example.comun certificato, giusto? Inizialmente ho preso questo per dire il contrario ...
flow2k

Sì. Se il vecchio sito utilizzava HSTS, sarà necessario un certificato per completare il reindirizzamento.
Damian Yerrick,

16

Sì, sarà necessario un nuovo certificato se il reindirizzamento viene eseguito in una risposta HTTP (un codice di ritorno 301 o 302). In caso contrario, il reindirizzamento non funzionerà, i visitatori del vecchio dominio riceveranno un errore per il certificato scaduto se visitano il vecchio dominio tramite HTTPS.


2

Il rinnovo del certificato è un'assicurazione relativamente economica, ma potrebbe non essere necessaria.

TL; dr;

Potrebbe essere necessario o meno rinnovare il certificato. Molti siti utilizzano ancora http semplice per il traffico in entrata. Se il vecchio sito viene tagliato in https solo quando nel carrello o simili non c'è un motivo valido per rinnovarlo, soprattutto se il reindirizzamento è in atto da un po 'di tempo.

Esaminerei personalmente i registri IIS per l'istanza per vedere se / quante richieste al vecchio dominio stanno attivamente utilizzando HTTPS e procedere da lì.


0

Supponiamo che tu stia trasferendo un sito da www.olddomain.com a www.newdomain.com

Per rispondere a una richiesta di https://www.olddomain.com/ senza causare avvisi spaventosi è necessario un certificato che copra https://www.olddomain.com/ . Ciò vale indipendentemente dal fatto che la risposta che si desidera inviare sia un reindirizzamento o meno.

D'altro canto, è possibile rispondere a una richiesta per http://www.olddomain.com/ senza bisogno di certificati.

Gli utenti che digitano semplicemente il nome del tuo sito finiranno probabilmente per fare una richiesta per http://www.olddomain.com/ (a meno che tu non stia utilizzando HSTS) ma se il tuo vecchio sito in precedenza ha reindirizzato tutti a https, è probabile che i segnalibri e i messaggi in arrivo i link useranno l'URL https. Se il tuo vecchio sito utilizzava HSTS, è probabile che quasi tutte le richieste in arrivo siano su https.

Invece di avere certificati separati per il vecchio e il nuovo dominio, potrebbe essere meglio avere un singolo certificato che copre entrambi i domini. Ciò ti consentirà di ospitare entrambi i domini sullo stesso indirizzo IP senza fare affidamento su SNI. Il rovescio della medaglia di questo approccio è che molte CA considerano il multi-dominio come una funzionalità premium e addebitano di conseguenza.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.