Elegir qué dominio proteger

11

Tenemos un sitio web que se sirve en ambos www.example.comy simplemente example.com: nunca hemos hecho ningún tipo de forzar a los usuarios de un dominio a otro, por lo que si aterrizan example.comallí es donde se quedan, y supongo que esos quienes marcan nuestras páginas como favoritos tendrían una división de 50/50 (hubo un problema anteriormente en el que parte de nuestro material omitía la WWW y años después aún notamos una división de tráfico).

Ahora estamos agregando SSL. No estamos forzando SSL hasta que el usuario llegue a la página de inicio de sesión o registro. ¿En qué dominio debemos ejecutar nuestro SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • ¿Algo más?

He hecho muchos sitios SSL antes, pero siempre fueron diseñados teniendo en cuenta SSL, y siempre forzamos el subdominio www.

¿Hay ventajas y desventajas de hacerlo de alguna de esas maneras? Mi principal preocupación es el reconocimiento de cookies, pero dado que estamos forzando SSL en el inicio de sesión, la cookie de sesión se escribirá en el dominio SSL'd de todos modos. Mi principal preocupación es para las personas que pueden ir https://example.comcuando estamos ejecutando el sitio https://www.example.com, etc.

Otra pregunta sería: "¿Debo reescribir a aquellos que aterrizan en el sitio que no es www en el sitio WWW?

Mark Henderson
fuente
Dependiendo de a quién le compre su certificado, es posible que le den el dominio desnudo como un nombre alternativo de sujeto de forma gratuita. Entonces, si compra www.example.com, puede obtener un certificado que cubra ambos www.example.comy example.com.
Michael Hampton

Respuestas:

6

Por lo general, elijo secure.domain.comporque me da más flexibilidad en cuanto a la administración. Por ejemplo, puedo poner ese subdominio en otro servidor, detrás de un mejor equipo IDS / IPS y posiblemente conectarlo a una red privada que no quiero que toquen los servidores web.

Es un buen lugar para estacionar cosas de usos múltiples, como:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... etc.

Tim Post
fuente
¿Alguna vez ha tenido problemas con las cookies? Por ejemplo, si se crea una cookie en www.example.com, ¿puede leerla desde secure.example.com?
Mark Henderson
@Farseeker: puede configurar la cookie para .example.com(o example.com, que es lo mismo), y funcionará tanto para www.example.com como secure.example.com (con el inconveniente de que siempre se enviará a ambos subdominios) . Aquí está mi página favorita sobre este tema: code.google.com/p/browsersec/wiki/…
Chris Lercher
@Farseeker - Sí, las cookies se propagan a subdominios, sin embargo, si eres un poco inteligente, no es un problema. Por ejemplo, cookie-> login_in / connection-> ssl, etc. No es como un CDN donde su ausencia es beneficiosa, solo tienen que planificarse y administrarse.
Tim Post
@ Chris, yo no era consciente de que podría establecer una cookie para example.compartir www.example.com- Voy a tener que ver en esto. Gracias.
Mark Henderson el
Con esta solución también puede negar secure.example.com en su robots.txt. Entonces +1. :-)
fwaechter
3

Personalmente, solo uso el certificado SSL Plus de DigiCert con ejemplo.com y www.example.com. Como en su otra pregunta, todavía enviaría a todos a www.example.com porque hace la vida más fácil más adelante. Hacer esto ahora, también le dará la oportunidad de usar algo como secure.example.com más adelante.

Por lo general, agrego código para detectar si los usuarios ejecutan HTTP cuando deberían ejecutar HTTPS y redirigirlos. Creo que esto generalmente solo ocurre durante el inicio de sesión, pero dependiendo del sitio, podría ocurrir otras veces también.

Darryl Hein
fuente