Tenemos un sitio web que se sirve en ambos www.example.com
y simplemente example.com
: nunca hemos hecho ningún tipo de forzar a los usuarios de un dominio a otro, por lo que si aterrizan example.com
allí es donde se quedan, y supongo que esos quienes marcan nuestras páginas como favoritos tendrían una división de 50/50 (hubo un problema anteriormente en el que parte de nuestro material omitía la WWW y años después aún notamos una división de tráfico).
Ahora estamos agregando SSL. No estamos forzando SSL hasta que el usuario llegue a la página de inicio de sesión o registro. ¿En qué dominio debemos ejecutar nuestro SSL?
www.example.com
example.com
secure.example.com
- ¿Algo más?
He hecho muchos sitios SSL antes, pero siempre fueron diseñados teniendo en cuenta SSL, y siempre forzamos el subdominio www.
¿Hay ventajas y desventajas de hacerlo de alguna de esas maneras? Mi principal preocupación es el reconocimiento de cookies, pero dado que estamos forzando SSL en el inicio de sesión, la cookie de sesión se escribirá en el dominio SSL'd de todos modos. Mi principal preocupación es para las personas que pueden ir https://example.com
cuando estamos ejecutando el sitio https://www.example.com
, etc.
Otra pregunta sería: "¿Debo reescribir a aquellos que aterrizan en el sitio que no es www en el sitio WWW?
fuente
www.example.com
, puede obtener un certificado que cubra amboswww.example.com
yexample.com
.Respuestas:
Por lo general, elijo
secure.domain.com
porque me da más flexibilidad en cuanto a la administración. Por ejemplo, puedo poner ese subdominio en otro servidor, detrás de un mejor equipo IDS / IPS y posiblemente conectarlo a una red privada que no quiero que toquen los servidores web.Es un buen lugar para estacionar cosas de usos múltiples, como:
... etc.
fuente
.example.com
(oexample.com
, que es lo mismo), y funcionará tanto para www.example.com como secure.example.com (con el inconveniente de que siempre se enviará a ambos subdominios) . Aquí está mi página favorita sobre este tema: code.google.com/p/browsersec/wiki/…example.com
partirwww.example.com
- Voy a tener que ver en esto. Gracias.Personalmente, solo uso el certificado SSL Plus de DigiCert con ejemplo.com y www.example.com. Como en su otra pregunta, todavía enviaría a todos a www.example.com porque hace la vida más fácil más adelante. Hacer esto ahora, también le dará la oportunidad de usar algo como secure.example.com más adelante.
Por lo general, agrego código para detectar si los usuarios ejecutan HTTP cuando deberían ejecutar HTTPS y redirigirlos. Creo que esto generalmente solo ocurre durante el inicio de sesión, pero dependiendo del sitio, podría ocurrir otras veces también.
fuente