Scelta del dominio da proteggere

11

Abbiamo un sito web che viene offerto su entrambi www.example.come solo example.com- non abbiamo mai fatto alcun tipo di forzare gli utenti da un dominio all'altro, quindi se atterrano example.comallora è lì che alloggiano, e immagino che quello di quelli che aggiungono ai segnalibri le nostre pagine sarebbero circa una suddivisione del 50/50 (prima c'era un problema in cui parte del nostro materiale aveva omesso il WWW e anni dopo notiamo ancora una suddivisione del traffico).

Ora stiamo aggiungendo SSL. Non forziamo SSL fino a quando l'utente non accede alla pagina di accesso o di registrazione. Su quale dominio dovremmo eseguire il nostro SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • Qualcos'altro?

Ho già fatto molti siti SSL, ma sono sempre stati progettati pensando a SSL e abbiamo sempre forzato il sottodominio www.

Ci sono pro e contro nel farlo in uno di questi modi? La mia preoccupazione principale riguarda il riconoscimento dei cookie, ma visto che stiamo forzando SSL all'accesso, i cookie di sessione verranno comunque scritti sul dominio SSL. La mia preoccupazione principale è per le persone che potrebbero andare https://example.comquando gestiamo il sito https://www.example.com, ecc.

Un'altra domanda sarebbe: "Dovrei riscrivere coloro che atterrano sul sito non www sul sito WWW?

domains  subdomain  https  security-certificate 
Mark Henderson
fonte
A seconda di chi acquisti il ​​certificato, potrebbero darti gratuitamente il dominio nudo come nome alternativo soggetto. Quindi, se acquisti, www.example.compotresti ottenere un certificato che copre sia www.example.come example.com.
Michael Hampton,

Risposte:

6

Di solito ci vado secure.domain.comperché mi dà più flessibilità per quanto riguarda l'amministrazione. Ad esempio, posso inserire quel sottodominio su un altro server, dietro alcuni attrezzi IDS / IPS migliori e possibilmente collegarlo a una rete privata che non voglio che i server Web tocchino.

È un buon posto per parcheggiare cose multiuso, come:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... eccetera.

Tim Post
fonte
Hai mai avuto problemi con i biscotti? Ad esempio, se un cookie viene creato su www.example.com, è possibile leggerlo da secure.example.com?
Mark Henderson,
@Farseeker: puoi impostare il cookie per .example.com(o example.com, che è lo stesso), e funzionerà sia per www.example.com che per secure.example.com (con l'inconveniente, che verrà sempre inviato a entrambi i sottodomini) . Ecco la mia pagina preferita su questo argomento: code.google.com/p/browsersec/wiki/…
Chris Lercher
@Farseeker - Sì, i cookie si propagano ai sottodomini, tuttavia se sei anche un po 'intelligente non è un problema. Ad esempio, cookie-> logg_in / connection-> ssl, ecc. Non è come un CDN in cui la loro assenza è vantaggiosa, devono solo essere pianificati e gestiti.
Tim Post
@ Chris, non ero a conoscenza è possibile impostare un cookie per example.comda www.example.com- dovrò guardare in questo. Grazie.
Mark Henderson,
Con questa soluzione puoi anche negare secure.example.com nel tuo robots.txt. Quindi +1. :-)
fwaechter
3

Personalmente uso solo il certificato SSL Plus di DigiCert, come fa con example.com e www.example.com. Come nella tua altra domanda, manderei comunque tutti a www.example.com perché in seguito renderà la vita più semplice. In questo modo, ti darà anche l'opportunità di utilizzare qualcosa come secure.example.com in seguito.

Di solito aggiungo codice per rilevare se gli utenti eseguono HTTP quando dovrebbero eseguire HTTPS e reindirizzarli. Trovo che questo accada di solito solo durante il login, ma a seconda del sito, potrebbe succedere anche altre volte.

Darryl Hein
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.