Hangi alanın güvenliğinin sağlanacağını seçme


11

Her ikisinde de sunulan bir web sitemiz var www.example.comve example.comkullanıcıları hiçbir zaman bir alandan diğerine zorlamak için herhangi bir şey yapmadık example.com. sayfalarımıza yer işareti koyanlar yaklaşık 50/50'lik bir bölünme olurdu (daha önce bazı materyallerimizin WWW'yi atladığı ve yıllar sonra hala bir trafik bölünmesi fark ettiğimizde bir sorun vardı).

Şimdi SSL ekliyoruz. Kullanıcı giriş veya kayıt sayfasına ulaşana kadar SSL'yi zorlamıyoruz. SSL'imizi hangi alanda çalıştırmalıyız?

  • www.example.com
  • example.com
  • secure.example.com
  • Başka bir şey?

Daha önce çok sayıda SSL sitesi yaptım, ancak her zaman SSL göz önünde bulundurularak tasarlandılar ve her zaman www alt alanını zorladık.

Bu yollardan herhangi birini yapmanın artıları ve eksileri var mı? Temel kaygım çerezlerin tanınmasıyla ilgili, ancak oturum açmada SSL'yi zorladığımızı görünce, oturum çerezi yine de SSL'd alanına yazılır. Temel kaygım, https://example.comsiteyi çalıştırdığımızda gidebilecek kişiler https://www.example.comvb. İçin.

Başka bir soru, "www olmayan siteye gelenleri WWW sitesine yeniden yazmalı mıyım?


Sertifikanızı kimden satın aldığınıza bağlı olarak, çıplak alan adını ücretsiz olarak konu alternatif adı olarak verebilirler. Yani satın www.example.comalırsanız hem www.example.comve hem de kapsayan bir sertifika alabilirsiniz example.com.
Michael Hampton

Yanıtlar:


6

Genelde devam ediyorum secure.domain.comçünkü bana yönetim konusunda daha fazla esneklik sağlıyor. Örneğin, bu alt alan adını başka bir sunucuya, daha iyi IDS / IPS dişli arkasına koyabilir ve muhtemelen web sunucularının dokunmasını istemediğim özel bir ağa bağlayabilirim.

Onun gibi çok amaçlı şeyler park etmek için iyi bir yer:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... vb.


Hiç çerezlerle ilgili sorunlarınız oldu mu? Örneğin, www.example.com'da bir çerez oluşturulduysa, safe.example.com adresinden okuyabilir misiniz?
Mark Henderson

@Farseeker: Çerezi .example.com(veya example.comaynı olan) için ayarlayabilirsiniz ve hem www.example.com hem de secure.example.com için çalışır (dezavantajla, her zaman her iki alt alana gönderilir) . İşte bu konuda en sevdiğim sayfa: code.google.com/p/browsersec/wiki/…
Chris Lercher

@Farseeker - Evet, çerezler alt alanlara yayılır, ancak en azından biraz zekiyseniz bile bu bir sorun değildir. Örneğin, çerez-> log_in / connection-> ssl, vb. Yokluklarının faydalı olduğu bir CDN gibi değil, sadece planlanması ve yönetilmesi gerekir.
Tim Post

@Chris, sana için bir çerez ayarlayabilirsiniz farkında değildi example.comdan www.example.combu içine bakmak gerekir -. Teşekkürler.
Mark Henderson

Bu çözümle robots.txt dosyanızda secure.example.com adresini de reddedebilirsiniz. Yani +1. :-)
fwaechter

3

Şahsen ben DigiCert'in SSL Plus sertifikasını example.com ve www.example.com ile birlikte kullanıyorum. Diğer sorunuzda olduğu gibi, herkesi www.example.com'a gönderirim, çünkü daha sonra hayatı kolaylaştırır. Bunu şimdi yapmak, daha sonra secure.example.com gibi bir şey kullanma fırsatı da verecektir.

Genellikle kullanıcıların HTTPS çalıştırıp HTTP'yi çalıştırıp çalıştırmadıklarını algılamak için kod eklerim. Bu genellikle sadece giriş sırasında olur, ancak siteye bağlı olarak, başka zamanlarda da olabilir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.