选择要保护的域


11

我们已经得到了针对两个提供服务的网站www.example.com,只是example.com-我们从来没有做过任何形式强制用户从一个领域到另一个,所以如果他们的土地上example.com那么这就是他们留下来,我猜那些谁将我们的页面添加为书签,它们将被分成50/50左右的比例(以前有一个问题,就是我们的某些材料省略了WWW,而几年后,我们仍然注意到流量分配)。

我们现在要添加SSL。在用户点击登录页面或注册页面之前,我们不会强制使用SSL。我们应该在哪个域上运行SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • 还有吗

我之前做过很多SSL网站,但在设计这些网站时始终考虑到SSL,因此我们始终强制使用www子域。

这些方式中是否有利弊?我主要关心的是cookie的识别,但是由于我们在登录时强制使用SSL,因此无论如何会话cookie都将写在SSL的域上。我主要关心的是https://example.comhttps://www.example.com等等上运行网站时可能会去的人。

另一个问题是:“我应该将那些非www站点上的用户重写为WWW网站吗?


根据您从谁那里购买证书,他们可以免费为您提供裸域作为主题的备用名称。因此,如果您购买www.example.com,可能会获得涵盖www.example.com和的证书example.com
迈克尔·汉普顿

Answers:


6

我通常会这样做,secure.domain.com因为它在管理方面给了我更大的灵活性。例如,我可以将该子域放在另一台服务器上,放在一些更好的IDS / IPS设备之后,并可能将其附加到我不希望Web服务器接触的专用网络上。

它是停放多用途物品的好地方,例如:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

...等


您曾经在Cookie方面遇到过麻烦吗?例如,如果在www.example.com上创建了cookie,您是否可以从secure.example.com读取它?
马克·亨德森

@Farseeker:您可以将cookie设置为.example.com(或example.com,它是相同的),并且该cookie 既可用于www.example.com,又可用于secure.example.com(缺点是,它将始终发送到两个子域) 。这是我在该主题上最喜欢的页面:code.google.com/p/browsersec/wiki/…–
克里斯·勒彻

@Farseeker-是的,Cookie会传播到子域,但是,即使您最聪明的一点也不是问题。例如,cookie-> logged_in / connection-> ssl等。它不像CDN那样有利于缺少CDN,而只需对其进行计划和管理。
蒂姆·波斯特

@Chris,我不知道您可以为example.comfrom 设置cookie- www.example.com我必须对此进行调查。谢谢。
马克·亨德森

使用此解决方案,您还可以在robots.txt中拒绝secure.example.com。所以+1。:-)
fwaechter 2010年

3

我个人只是将DigiCert的SSL Plus证书与example.com和www.example.com一起使用。与您的其他问题一样,我仍然会将所有人发送到www.example.com,因为这样可以使以后的生活更加轻松。现在执行此操作,还将使您以后有机会使用诸如secure.example.com之类的内容。

我通常会添加代码来检测用户是否应该在运行HTTPS时运行HTTP并将其重定向。我发现这通常仅在登录期间发生,但是根据站点的不同,它也可能在其他时间发生。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.