选择要保护的域

我们已经得到了针对两个提供服务的网站www.example.com，只是example.com-我们从来没有做过任何形式强制用户从一个领域到另一个，所以如果他们的土地上example.com那么这就是他们留下来，我猜那些谁将我们的页面添加为书签，它们将被分成50/50左右的比例（以前有一个问题，就是我们的某些材料省略了WWW，而几年后，我们仍然注意到流量分配）。

我们现在要添加SSL。在用户点击登录页面或注册页面之前，我们不会强制使用SSL。我们应该在哪个域上运行SSL？

www.example.com
example.com
secure.example.com
还有吗

我之前做过很多SSL网站，但在设计这些网站时始终考虑到SSL，因此我们始终强制使用www子域。

这些方式中是否有利弊？我主要关心的是cookie的识别，但是由于我们在登录时强制使用SSL，因此无论如何会话cookie都将写在SSL的域上。我主要关心的是https://example.com在https://www.example.com等等上运行网站时可能会去的人。

_{另一个问题是：“我应该将那些非www站点上的用户重写为WWW网站吗？}

— 马克·亨德森
source

根据您从谁那里购买证书，他们可以免费为您提供裸域作为主题的备用名称。因此，如果您购买www.example.com，可能会获得涵盖www.example.com和的证书example.com。

— 迈克尔·汉普顿

Answers:

我通常会这样做，secure.domain.com因为它在管理方面给了我更大的灵活性。例如，我可以将该子域放在另一台服务器上，放在一些更好的IDS / IPS设备之后，并可能将其附加到我不希望Web服务器接触的专用网络上。

它是停放多用途物品的好地方，例如：

secure.domain.com/checkout/
secure.domain.com/portal/
secure.domain.com/support/

...等

— 蒂姆邮政
source

您曾经在Cookie方面遇到过麻烦吗？例如，如果在www.example.com上创建了cookie，您是否可以从secure.example.com读取它？

— 马克·亨德森

@Farseeker：您可以将cookie设置为.example.com（或example.com，它是相同的），并且该cookie 既可用于www.example.com，又可用于secure.example.com（缺点是，它将始终发送到两个子域）。这是我在该主题上最喜欢的页面：code.google.com/p/browsersec/wiki/…–

— 克里斯·勒彻

@Farseeker-是的，Cookie会传播到子域，但是，即使您最聪明的一点也不是问题。例如，cookie-> logged_in / connection-> ssl等。它不像CDN那样有利于缺少CDN，而只需对其进行计划和管理。

— 蒂姆·波斯特

@Chris，我不知道您可以为example.comfrom 设置cookie- www.example.com我必须对此进行调查。谢谢。

— 马克·亨德森

使用此解决方案，您还可以在robots.txt中拒绝secure.example.com。所以+1。:-)

— fwaechter 2010年

我个人只是将DigiCert的SSL Plus证书与example.com和www.example.com一起使用。与您的其他问题一样，我仍然会将所有人发送到www.example.com，因为这样可以使以后的生活更加轻松。现在执行此操作，还将使您以后有机会使用诸如secure.example.com之类的内容。

我通常会添加代码来检测用户是否应该在运行HTTPS时运行HTTP并将其重定向。我发现这通常仅在登录期间发生，但是根据站点的不同，它也可能在其他时间发生。

— 达里尔·海因（Darryl Hein）
source