Yönlendirmeler için bir SSL Sertifikası gerekli mi?

Şu anda sitenin 'HTTP Yeniden Yönlendirme' özelliğinde bulunan kalıcı yönlendirmeleri kullanarak IIS 8.5'te yeni bir adrese yönlendirmek üzere ayarlanmış bir web sitemiz var (istemcimiz alan adlarını değiştirdi, ancak eski alan adının yeni siteye kişi göndermesini istiyor).

SSL sertifikası eski alan adı için yenilendi ve teknik departmanımızda yenilenmesi gerekip gerekmediği konusunda açık bir soru var.

IIS'de HTTP Yönlendirme ayarlandığında, sitenin SSL sertifikasına ihtiyacı var mı? Yoksa bir ziyaretçi bu tür şeyler kontrol edilmeden önce yönlendirilecek mi?

A yönlendirme http://old.example.com için https://new.example.com için bir sertifika gerektirmez old.example.com. Ama bir yönlendirme https://old.example.com için https://new.example.com yapar.

Kişilerin yer işaretleri veya arama motoru arama sonuçları veya diğer harici bağlantılar https sitesini gösteriyorsa, sertifikayı yenilemeniz daha iyi olur. Yalnızca old.example.comkullanıcıların tarayıcılarına yazdıklarını varsayarsanız , buna ihtiyacınız olmayabilir. (Ancak, daha önce sitenizdeyse ve tarayıcı https-url'de otomatik olarak tamamlandıysa, yine de buna ihtiyacınız vardır).

Anladığım kadarıyla, zaten bir süre için yeniden yönlendirmeye sahipsiniz, en iyi şey (Tim Brigham'ın zaten söylediği gibi) web günlüklerinizi kontrol etmek ve zahmete değip değmeyeceğini değerlendirmek. Daha sonra, herhangi bir nedenle ana siteniz için pahalı bir sertifikaya ihtiyacınız olsa bile (örneğin, Genişletilmiş Doğrulama ile), yeniden yönlendirme sitesi, genel olarak kabul edilen ücretsiz sertifikalardan (startssl, letsencrypt, ...) biriyle iyi olmalıdır.

Evet, yönlendirme bir HTTP yanıtında (301 veya 302 dönüş kodu) yapılırsa yeni bir sertifikaya ihtiyacınız olacaktır. Yeniden yönlendirme çalışmazsa, eski alanın ziyaretçileri HTTPS aracılığıyla eski alan adını ziyaret ederlerse sertifikanın süresi doldu.

Sertifikanızı yenilemek nispeten ucuz bir sigortadır, ancak gereksiz olabilir.

tl; dr;

Sertifikayı yenilemeniz gerekebilir veya gerekmeyebilir. Birçok site, gelen trafik için hala düz http kullanıyor. Eski site yalnızca alışveriş sepetinde veya benzerlerindeyken https'yi keserse, özellikle yönlendirme bir süredir yerinde ise, yenilemek için güçlü bir neden yoktur.

Şahsen eski günlük etki alanı HTTPS kullanıyor olup olmadığını / oradan devam edip etmediğini görmek için örnek için IIS günlüklerini inceleyeceğim.

Bir siteyi www.olddomain.com'dan www.newdomain.com adresine taşıdığınızı varsayalım.

İsteğine yanıt verdiklerini amacıyla https://www.olddomain.com/ korkutucu uyarılar neden olmadan bir sertifika olduğunu kapakları ihtiyaç https://www.olddomain.com/ . Bu, göndermek istediğiniz yanıtın bir yönlendirme olup olmadığına bakılmaksızın geçerlidir.

Diğer yandan, herhangi bir sertifikaya ihtiyaç duymadan http://www.olddomain.com/ adresine bir istek yanıtlanabilir.

Sadece site adınızı yazan kullanıcılar büyük olasılıkla http://www.olddomain.com/ (HSTS kullanmıyorsanız) için bir istekte bulunurlar, ancak eski siteniz herkesi daha önce https'ye yönlendirdiyse, yer imleri ve gelen bağlantılar https URL'sini kullanır. Eski siteniz HSTS kullandıysa, neredeyse tüm gelen isteklerin https'de olması muhtemeldir.

Eski ve yeni alan adı için ayrı sertifikalara sahip olmak yerine, her iki alanı da kapsayan tek bir sertifikaya sahip olmak daha iyi olabilir. Bu, SNI'ye güvenmeden her iki etki alanını aynı IP adresinde barındırmanıza olanak tanır. Bu yaklaşımın dezavantajı, birçok CA'nın çoklu alan adını premium bir özellik olarak görmesi ve buna göre ücret almasıdır.