web-dev-qa-db-fra.com

Choisir quel domaine à sécuriser

Nous avons un site Web qui est servi à la fois sur www.example.com et juste example.com - nous n'avons jamais forcé les utilisateurs d'un domaine à l'autre, donc s'ils atterrissent sur example.com C’est là qu’ils restent, et j’imagine que parmi ceux qui ont ajouté un signet à nos pages, il s’agissait d’un partage moitié-moitié (il y avait un problème plus tôt où certains de nos documents ont été omis sur le WWW et des années plus tard, remarquant toujours une scission de trafic).

Nous ajoutons maintenant SSL. Nous n'imposons pas le protocole SSL tant que l'utilisateur n'a pas accédé à la page de connexion ou d'enregistrement. Sur quel domaine devrions-nous exécuter notre SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • Autre chose?

J'ai déjà fait beaucoup de sites SSL auparavant, mais ils ont toujours été conçus avec SSL en tête, et nous avons toujours forcé le sous-domaine www.

Y a-t-il des avantages et des inconvénients à le faire? Ma principale préoccupation concerne la reconnaissance des cookies, mais étant donné que nous imposons SSL à la connexion, le cookie de session sera de toute façon écrit sur le domaine SSL. Ma principale préoccupation concerne les personnes susceptibles d'aller sur https://example.com lorsque le site Web est exploité sur https://www.example.com, etc.

Une autre question serait, "Devrais-je réécrire ceux qui atterrissent sur le site non-www sur le site WWW?

11
Mark Henderson

Je vais généralement avec secure.domain.com parce que cela me donne plus de flexibilité en ce qui concerne l'administration. Par exemple, je peux placer ce sous-domaine sur un autre serveur, derrière des équipements IDS/IPS plus performants, et éventuellement le connecter à un réseau privé que je ne souhaite pas voir toucher aux serveurs Web.

C'est un bon endroit pour garer des objets polyvalents, tels que:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... etc.

6
Tim Post

Personnellement, j'utilise simplement le certificat DigiCert's SSL Plus avec fait avec example.com et www.example.com. Comme dans votre autre question, je voudrais quand même envoyer tout le monde à www.example.com car cela simplifie la vie plus tard. Faire cela maintenant, vous donnera également la possibilité d'utiliser ultérieurement quelque chose comme secure.example.com.

J'ajoute généralement du code pour détecter si les utilisateurs exécutent HTTP alors qu'ils devraient utiliser HTTPS et les rediriger. Je trouve que cela ne se produit généralement que lors de la connexion, mais selon le site, cela pourrait se produire à d'autres moments également.

3
Darryl Hein