web-dev-qa-db-fra.com

Dois-je utiliser HTTPS sur un domaine qui ne sera utilisé que pour la redirection?

Si j'ai un domaine, https://www.example.com. Il possède un certificat SSL pour ce domaine uniquement.

Je souhaite également rediriger les personnes qui tapent uniquement example.com dans la barre d'adresse de leur navigateur. Dois-je sécuriser le deuxième domaine https://example.com et pourquoi, ou HTTP suffit-il?

Je n'utilise pas de certificat SSL générique.

38
Michel

Si vous ne sécurisez pas example.com et un utilisateur visite ce site, un attaquant du milieu peut manipuler le trafic et garder l'utilisateur sur example.com, où il peut intercepter tout le trafic.

Peu importe que votre version de example.com redirige vers https://www.example.com/. L'attaquant peut modifier ce comportement et proposer une version HTTP de votre site à l'utilisateur.

85
Sjoerd

Si vous n'avez pas de certificat pour example.com, toute personne essayant d'y accéder (sans le www. part) sur HTTPS obtiendra une erreur, et très probablement pas une redirection vers www.example.com. Avec les navigateurs poussant de plus en plus HTTPS comme protocole par défaut, cela deviendra un problème croissant.

De nombreuses autorités de certification vous permettent d'ajouter plusieurs noms de domaine dans une seule demande de certificat, vous pouvez donc obtenir un certificat pour les deux example.com et www.example.com.

17
Teun Vink

Oui tu devrais.

Dans votre scénario, l'utilisateur tape le nom de votre domaine dans la barre d'adresse de son navigateur. Pas de protocole, pas de www., juste example.com. La plupart des navigateurs répondront en essayant d'abord de se connecter à http://example.com. Désormais, un attaquant a la possibilité d'interférer avec cette demande et/ou la réponse - empêchant toute redirection de se produire, ou redirigeant l'utilisateur vers la mauvaise destination, ou tout autre mauvais comportement.

Simplement prenant en charge HTTPS sur le domaine de base n'aide pas à cela, car le navigateur se connectera toujours via HTTP en premier , et l'attaquant contrôle ce qui se passe à partir de ce moment. (Bien qu'il présente l'avantage mineur d'offrir une meilleure expérience aux rares utilisateurs qui tapent https://example.com dans leur navigateur).

La seule façon d'éviter vraiment le problème est de savoir si, lorsque l'utilisateur tape example.com, le navigateur se connecte immédiatement via HTTPS , sans attendre de redirection. Ceci peut être réalisé (dans la plupart des navigateurs) en plaçant votre domaine sur la liste de préchargement HSTS . Les conditions requises pour l'ajout d'un domaine à la liste de préchargement impliquent que le domaine de base doit être disponible via HTTPS (vous ne pouvez soumettre le domaine de base que pour inclusion, et c'est ce qui sera vérifié pour les deux premières conditions; en outre, l'en-tête HSTS tel que spécifié dans la quatrième exigence n'est valable que sur HTTPS).

Donc, la réponse à votre question est oui - vous devez sécuriser le domaine de base - mais vous devez également envisager de remplir les autres conditions et d'ajouter le domaine à la liste de préchargement.

2
John Morahan

Si vous avez activé le certificat SSL de RapidSSL , GeoTrust , Thawte alors vous n'avez pas à vous soucier de votre domaine example.com car ils sécurisent les versions www et non www du nom de domaine telles que example.com & www.example.com

Mais oui si vous devez conserver www domaine www.example.com comme domaine préféré, vous devez rediriger votre domaine non www example.com en utilisant la redirection 301. Même solution de requête donnée dans cette rubrique certificat ssl différent pour www et non www si vous êtes toujours confus.

1
Dana

Si vous allez rediriger avec certaines informations dans l'URL vers le domaine de destination, alors soyez prudent, il y a un problème de sécurité

Vous pouvez utiliser Letsencrypt ( https://certbot.eff.org/ ) et obtenir un certificat gratuit pour votre domaine. même s'il y en a pour redirection.

0
wangolo joel