SSL Certificates จำเป็นสำหรับการเปลี่ยนเส้นทางหรือไม่?


13

ขณะนี้เรามีเว็บไซต์ที่ตั้งค่าให้เปลี่ยนเส้นทางไปยังที่อยู่ใหม่ (ลูกค้าของเราเปลี่ยนชื่อโดเมน แต่ต้องการให้โดเมนเก่าส่งผู้คนไปยังไซต์ใหม่) ใน IIS 8.5 โดยใช้การเปลี่ยนเส้นทางแบบถาวรในคุณสมบัติ 'HTTP Redirect' สำหรับเว็บไซต์

ใบรับรอง SSL มาเพื่อต่ออายุโดเมนเก่าและมีคำถามเปิดในแผนกเทคโนโลยีของเราว่าจำเป็นต้องต่ออายุหรือไม่

เมื่อมีการตั้งค่า HTTP Redirect ใน IIS ไซต์ต้องการใบรับรอง SSL หรือไม่ หรือผู้เข้าชมจะถูกเปลี่ยนเส้นทางก่อนที่จะมีการตรวจสอบสิ่งต่าง ๆ หรือไม่

คำตอบ:


20

เปลี่ยนเส้นทางจากhttp://old.example.comเพื่อhttps://new.example.comold.example.comไม่จำเป็นต้องมีใบรับรองสำหรับ แต่การเปลี่ยนเส้นทางจากhttps://old.example.comเพื่อhttps://new.example.comไม่

หากบุ๊กมาร์กของผู้คนหรือผลการค้นหาของเครื่องมือค้นหาหรือลิงก์ภายนอกอื่น ๆ ชี้ไปที่เว็บไซต์ https คุณควรต่ออายุใบรับรอง หากคุณเพียงแค่สมมติว่าคนพิมพ์old.example.comลงในเบราว์เซอร์ของคุณคุณอาจไม่ต้องการมัน (อย่างไรก็ตามหากพวกเขาเคยอยู่บนเว็บไซต์ของคุณมาก่อนและเบราว์เซอร์เติมข้อความอัตโนมัติให้กับ https-url คุณยังคงต้องการมัน)

ดังที่ฉันเข้าใจว่าคุณมีการเปลี่ยนเส้นทางแล้วบางครั้งสิ่งที่ดีที่สุดในการตรวจสอบ (ตามที่ Tim Brigham พูดไว้แล้ว) บันทึกการใช้เว็บของคุณและประเมินว่ามันคุ้มค่าหรือไม่ จากนั้นอีกครั้งแม้ว่าด้วยเหตุผลบางอย่างที่คุณต้องการใบรับรองราคาแพงสำหรับไซต์หลักของคุณ (ตัวอย่างเช่นด้วย Extended Validation) ไซต์ที่เปลี่ยนเส้นทางควรจะใช้ได้ดีกับหนึ่งในใบรับรองฟรีที่ยอมรับโดยทั่วไป (startssl, allowencrypt, ... )


3
หรือถ้า old.example.com ใช้ HSTS
Damian Yerrick

@ DamianYerrick เพียงแค่ชี้แจงให้ชัดเจน HSTS จำเป็นต้องold.example.comมีใบรับรองใช่ไหม? ตอนแรกฉันใช้สิ่งนี้เพื่อหมายถึงวิธีอื่น ๆ ...
flow2k

ใช่. หากเว็บไซต์เก่าใช้ HSTS จะต้องมีใบรับรองเพื่อให้การเปลี่ยนเส้นทางเสร็จสมบูรณ์
Damian Yerrick

16

ใช่คุณจะต้องมีใบรับรองใหม่หากมีการเปลี่ยนเส้นทางในการตอบกลับ HTTP (รหัสส่งคืน 301 หรือ 302) หากคุณไม่เปลี่ยนเส้นทางจะไม่ทำงานผู้เข้าชมของโดเมนเก่าจะได้รับข้อผิดพลาดที่ใบรับรองหมดอายุหากพวกเขาเข้าชมโดเมนเก่าผ่าน HTTPS


2

การต่ออายุใบรับรองของคุณเป็นการประกันราคาถูก แต่อาจไม่จำเป็น

TL; ดร;

คุณอาจหรือไม่จำเป็นต้องต่ออายุใบรับรอง เว็บไซต์จำนวนมากยังคงใช้ http ธรรมดาสำหรับปริมาณการใช้งานที่เข้ามา หากเว็บไซต์เก่าตัดกับ https เฉพาะเมื่ออยู่ในรถเข็นหรือสิ่งที่คล้ายกันไม่มีเหตุผลอันสมควรที่จะต่ออายุโดยเฉพาะอย่างยิ่งหากมีการเปลี่ยนเส้นทางมาระยะหนึ่งแล้ว

ฉันจะตรวจสอบบันทึก IIS สำหรับอินสแตนซ์เป็นการส่วนตัวเพื่อดูว่ามีคำขอจำนวนเท่าใดสำหรับโดเมนเก่าที่ใช้ HTTPS และดำเนินการต่อจากที่นั่น


0

สมมติว่าคุณกำลังย้ายเว็บไซต์จาก www.olddomain.com ไปที่ www.newdomain.com

เพื่อที่จะตอบสนองต่อการร้องขอสำหรับhttps://www.olddomain.com/ไม่ก่อให้เกิดคำเตือนที่น่ากลัวที่คุณต้องการใบรับรองที่ครอบคลุมhttps://www.olddomain.com/ สิ่งนี้ใช้ไม่ว่าการตอบสนองที่คุณต้องการส่งเป็นการเปลี่ยนเส้นทางหรือไม่

ในทางกลับกันคำขอสำหรับhttp://www.olddomain.com/สามารถตอบกลับโดยไม่จำเป็นต้องมีใบรับรองใด ๆ

ผู้ใช้ที่เพิ่งพิมพ์ชื่อเว็บไซต์ของคุณจะมีโอกาสจบลงด้วยการร้องขอhttp://www.olddomain.com/ (เว้นแต่ว่าคุณกำลังใช้ HSTS) แต่หากไซต์เก่าของคุณเปลี่ยนเส้นทางทุกคนไปยัง https ก่อนหน้านี้เป็นไปได้ว่าบุ๊กมาร์กและขาเข้า ลิงก์จะใช้ URL url หากเว็บไซต์เก่าของคุณใช้ HSTS แล้วคำขอที่เข้ามาเกือบทั้งหมดน่าจะเป็นบน https

แทนที่จะมีใบรับรองแยกต่างหากสำหรับโดเมนเก่าและใหม่อาจเป็นการดีกว่าที่จะมีใบรับรองฉบับเดียวซึ่งครอบคลุมทั้งสองโดเมน สิ่งนี้จะช่วยให้คุณสามารถโฮสต์ทั้งสองโดเมนในที่อยู่ IP เดียวกันโดยไม่ต้องพึ่งพา SNI ข้อเสียของวิธีการนี้คือ CA หลายแห่งพิจารณาว่าหลายโดเมนเป็นคุณสมบัติพิเศษและคิดค่าใช้จ่ายตามนั้น

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.