Auswählen der zu sichernden Domain

11

Wir haben eine Webseite bekam , die auf beide serviert wird www.example.comund nur example.com- wir haben nie irgendeine Art von zwingt Benutzer von einer Domäne in die andere getan, so dass , wenn sie landen example.comdann das ist , wo sie bleiben, und ich vermute , dass von denen , Wenn Sie unsere Seiten mit einem Lesezeichen versehen, handelt es sich um eine 50/50-Aufteilung (früher gab es ein Problem, bei dem ein Teil unseres Materials das WWW weggelassen hat und Jahre später immer noch eine Aufteilung des Datenverkehrs festgestellt wird).

Wir fügen jetzt SSL hinzu. Wir erzwingen kein SSL, bis der Benutzer auf die Anmelde- oder Registrierungsseite gelangt. Auf welcher Domain sollen wir unser SSL ausführen?

  • www.example.com
  • example.com
  • secure.example.com
  • Etwas anderes?

Ich habe schon viele SSL-Sites erstellt, aber sie wurden immer mit Blick auf SSL entwickelt, und wir haben immer die WWW-Subdomain erzwungen.

Gibt es Vor- und Nachteile, wenn Sie dies auf eine dieser Arten tun? Mein Hauptanliegen ist die Erkennung von Cookies, aber da wir SSL bei der Anmeldung erzwingen, wird das Sitzungscookie trotzdem in die SSL-Domäne geschrieben. Mein Hauptanliegen sind Leute, zu https://example.comdenen wir gehen könnten, wenn wir die Site betreiben https://www.example.comusw.

Eine andere Frage wäre: "Soll ich diejenigen, die auf der Nicht-WWW-Site landen, auf die WWW-Site umschreiben?

Mark Henderson
quelle
Je nachdem, bei wem Sie Ihr Zertifikat kaufen, erhalten Sie möglicherweise kostenlos die nackte Domain als Betreff. Wenn Sie also kaufen, erhalten www.example.comSie möglicherweise ein Zertifikat, das sowohl www.example.comals auch abdeckt example.com.
Michael Hampton

Antworten:

6

Ich gehe normalerweise mit, secure.domain.comweil es mir mehr Flexibilität in Bezug auf die Verwaltung gibt. Zum Beispiel kann ich diese Subdomain auf einem anderen Server hinter einem besseren IDS / IPS-Gerät ablegen und sie möglicherweise an ein privates Netzwerk anschließen, das die Webserver nicht berühren sollen.

Es ist ein guter Ort, um Mehrzweckgegenstände zu parken, wie zum Beispiel:

  • Secure.domain.com/checkout/
  • Secure.domain.com/portal/
  • Secure.domain.com/support/

... etc.

Tim Post
quelle
Haben Sie jemals Probleme mit Cookies gehabt? Wenn beispielsweise auf www.example.com ein Cookie erstellt wird, können Sie es dann von Secure.example.com lesen?
Mark Henderson
@Farseeker: Sie können das Cookie für .example.com(oder example.comdasselbe) festlegen und es funktioniert sowohl für www.example.com als auch für secure.example.com (mit dem Nachteil, dass es immer an beide Subdomains gesendet wird). . Hier ist meine Lieblingsseite zu diesem Thema: code.google.com/p/browsersec/wiki/…
Chris Lercher
@Farseeker - Ja, Cookies verbreiten sich in Subdomains, aber wenn Sie auch nur ein bisschen schlau sind, ist dies kein Problem. Zum Beispiel cookie-> logged_in / connection-> ssl usw. Es ist nicht wie bei einem CDN, bei dem ihre Abwesenheit von Vorteil ist, sondern sie müssen nur geplant und verwaltet werden.
Tim Post
@ Chris, ich wusste nicht , dass Sie ein Cookie gesetzt könnten example.comaus www.example.com- ich werde in diesen suchen. Vielen Dank.
Mark Henderson
Mit dieser Lösung können Sie auch secure.example.com in Ihrer robots.txt verweigern. Also +1. :-)
fwaechter
3

Persönlich verwende ich nur das SSL Plus- Zertifikat von DigiCert mit den Beispielen.com und www.example.com. Wie bei Ihrer anderen Frage würde ich immer noch alle an www.example.com senden, da dies das Leben später einfacher macht. Wenn Sie dies jetzt tun, haben Sie auch die Möglichkeit, später so etwas wie Secure.example.com zu verwenden.

Normalerweise füge ich Code hinzu, um festzustellen, ob Benutzer HTTP ausführen, wenn sie HTTPS ausführen sollen, und umzuleiten. Ich finde, dass dies normalerweise nur während der Anmeldung geschieht, aber je nach Website kann es auch zu anderen Zeiten passieren.

Darryl Hein
quelle