Wird für Weiterleitungen ein SSL-Zertifikat benötigt?

12

Derzeit ist in IIS 8.5 eine Website so eingestellt, dass sie an eine neue Adresse umleitet (unser Client hat die Domainnamen geändert, möchte jedoch, dass die alte Domain Personen an die neue Site sendet). Dabei werden permanente Weiterleitungen verwendet, die in der Funktion "HTTP-Umleitung" für die Site enthalten sind.

Das SSL-Zertifikat wurde für die alte Domain erneuert, und in unserer technischen Abteilung ist die Frage offen, ob es erneuert werden muss oder nicht.

Benötigt die Site bei der in IIS eingerichteten HTTP-Umleitung ein SSL-Zertifikat? Oder wird ein Besucher umgeleitet, bevor solche Dinge überprüft werden?

Jeff
quelle

Antworten:

19

Für eine Weiterleitung von http://old.example.com zu https://new.example.com ist kein Zertifikat erforderlich old.example.com. Eine Weiterleitung von https://old.example.com zu https://new.example.com ist jedoch möglich.

Wenn die Lesezeichen von Personen oder Suchmaschinen-Suchergebnisse oder andere externe Links auf die https-Site verweisen, erneuern Sie das Zertifikat besser. Wenn Sie lediglich davon ausgehen, dass Personen old.example.comin ihren Browser eingeben, benötigen Sie ihn möglicherweise nicht. (Wenn sie sich jedoch zuvor auf Ihrer Website befanden und der Browser die https-URL automatisch vervollständigt, benötigen Sie sie weiterhin.)

Soweit ich weiß, haben Sie die Umleitung bereits seit einiger Zeit eingerichtet. Am besten überprüfen Sie (wie Tim Brigham bereits sagte) Ihre Weblogs und bewerten Sie, ob sich der Aufwand lohnt. Selbst wenn Sie aus irgendeinem Grund ein teures Zertifikat für Ihre Hauptwebsite benötigen (z. B. mit erweiterter Validierung), sollte die Umleitungswebsite mit einem der allgemein akzeptierten kostenlosen Zertifikate (startssl, letsencrypt, ...) in Ordnung sein.

Hagen von Eitzen
quelle
3
Oder wenn old.example.com HSTS verwendet.
Damian Yerrick
@DamianYerrick Nur um zu verdeutlichen, benötigt HSTS old.example.comein Zertifikat, oder? Ich habe das zunächst umgekehrt verstanden ...
flow2k
Ja. Wenn die alte Site HSTS verwendet, benötigt sie ein Zertifikat, um die Umleitung abzuschließen.
Damian Yerrick
16

Ja, Sie benötigen ein neues Zertifikat, wenn die Umleitung in einer HTTP-Antwort erfolgt (ein Rückkehrcode 301 oder 302). Wenn Sie dies nicht tun, funktioniert die Umleitung nicht. Besucher der alten Domain erhalten eine Fehlermeldung, dass das Zertifikat abgelaufen ist, wenn sie die alte Domain über HTTPS besuchen.

Teun Vink
quelle
2

Das Erneuern Ihres Zertifikats ist eine relativ günstige Versicherung, die jedoch möglicherweise nicht erforderlich ist.

tl; DR;

Möglicherweise müssen Sie das Zertifikat erneuern oder nicht. Viele Websites verwenden immer noch einfaches http für eingehenden Datenverkehr. Wenn die alte Site nur im Warenkorb oder ähnlichem auf https umgestellt wird, gibt es keinen starken Grund für eine Verlängerung, insbesondere wenn die Umleitung bereits seit einiger Zeit vorhanden ist.

Ich würde die IIS-Protokolle für die Instanz persönlich überprüfen, um festzustellen, ob / wie viele Anforderungen an die alte Domäne HTTPS aktiv verwenden, und von dort aus fortfahren.

Tim Brigham
quelle
0

Nehmen wir an, Sie verschieben eine Website von www.olddomain.com auf www.newdomain.com

Um auf eine Anfrage nach https://www.olddomain.com/ zu antworten, ohne gruselige Warnungen zu verursachen, benötigen Sie ein Zertifikat, das https://www.olddomain.com/ abdeckt . Dies gilt unabhängig davon, ob es sich bei der Antwort, die Sie senden möchten, um eine Umleitung handelt oder nicht.

Auf der anderen Seite kann eine Anfrage nach http://www.olddomain.com/ beantwortet werden, ohne dass Zertifikate erforderlich sind.

Benutzer, die nur Ihren Site-Namen eingeben, werden wahrscheinlich eine Anfrage nach http://www.olddomain.com/ stellen (es sei denn, Sie verwenden HSTS). Wenn Ihre alte Site jedoch zuvor alle zu https umgeleitet hat, ist es wahrscheinlich, dass Lesezeichen und eingehende Nachrichten vorhanden sind Links verwenden die https-URL. Wenn Ihre alte Site HSTS verwendet, befinden sich wahrscheinlich fast alle eingehenden Anforderungen auf https.

Anstatt separate Zertifikate für die alte und die neue Domäne zu haben, ist es möglicherweise besser, ein einziges Zertifikat zu haben, das beide Domänen abdeckt. Auf diese Weise können Sie beide Domänen unter derselben IP-Adresse hosten, ohne sich auf SNI verlassen zu müssen. Der Nachteil dieses Ansatzes besteht darin, dass viele Zertifizierungsstellen Multi-Domain als Premium-Funktion betrachten und entsprechend Gebühren erheben.

Peter Green
quelle