การเลือกโดเมนที่จะปลอดภัย

11

เรามีเว็บไซต์ที่ให้บริการทั้งสองwww.example.comและเพียงแค่example.com- เราไม่เคยบังคับให้ผู้ใช้จากโดเมนหนึ่งไปยังอีกโดเมนหนึ่งดังนั้นถ้าพวกเขาลงจอดexample.comแล้วพวกเขาจะอยู่ที่ไหนและฉันเดาว่า ผู้ทำบุ๊กมาร์กหน้าเว็บของเราพวกเขาน่าจะแยกประมาณ 50/50 (มีปัญหาก่อนหน้านี้ซึ่งเนื้อหาบางส่วนของเราตัดออกจาก WWW และปีต่อมาเรายังคงสังเกตเห็นการแบ่งการจราจร)

ตอนนี้เรากำลังเพิ่ม SSL เราไม่ได้บังคับให้ SSL จนกว่าผู้ใช้จะเข้าสู่หน้าเข้าสู่ระบบหรือลงทะเบียน โดเมนใดที่เราควรใช้ SSL ของเรา

  • www.example.com
  • example.com
  • secure.example.com
  • อื่น ๆ อีก?

ฉันเคยทำเว็บไซต์ SSL มาก่อนมากมาย แต่พวกเขาได้รับการออกแบบโดยคำนึงถึง SSL เสมอและเราบังคับโดเมนย่อย www

มีข้อดีข้อเสียในการทำวิธีใดบ้าง? ความกังวลหลักของฉันเกี่ยวกับการรับรู้คุกกี้ แต่เมื่อเราบังคับให้ SSL เข้าสู่ระบบคุกกี้เซสชันจะถูกเขียนบนโดเมน SSL อย่างไรก็ตาม ความกังวลหลักของฉันคือสำหรับคนที่อาจจะไปhttps://example.comเมื่อเราใช้เว็บไซต์https://www.example.comเป็นต้น

คำถามอื่นก็คือ "ฉันควรจะเขียนคนที่ลงบนไซต์ที่ไม่ใช่ www ไปที่เว็บไซต์ WWW หรือไม่

domains  subdomain  https  security-certificate 
มาร์คเฮนเดอร์สัน
แหล่งที่มา
ขึ้นอยู่กับว่าคุณซื้อใบรับรองมาจากใครพวกเขาอาจให้โดเมนเปล่าแก่คุณเป็นชื่อสำรองโดยไม่มีค่าใช้จ่าย ดังนั้นถ้าคุณซื้อwww.example.comคุณอาจได้รับใบรับรองที่ครอบคลุมทั้งในและwww.example.com example.com
Michael Hampton

คำตอบ:

6

ฉันมักจะไปด้วยsecure.domain.comเพราะมันทำให้ฉันมีความยืดหยุ่นมากขึ้นเท่าที่การบริหาร ตัวอย่างเช่นฉันสามารถวางโดเมนย่อยนั้นไว้ในเซิร์ฟเวอร์อื่นซึ่งอยู่ด้านหลังอุปกรณ์ IDS / IPS ที่ดีกว่าและอาจแนบกับเครือข่ายส่วนตัวที่ฉันไม่ต้องการให้เว็บเซิร์ฟเวอร์สัมผัส

มันเป็นสถานที่ที่ดีในการจอดสิ่งอเนกประสงค์เช่น:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... ฯลฯ

ทิมโพสต์
แหล่งที่มา
คุณเคยมีปัญหากับคุกกี้หรือไม่? ตัวอย่างเช่นหากมีการสร้างคุกกี้บน www.example.com คุณสามารถอ่านได้จาก secure.example.com หรือไม่
Mark Henderson
@Farseeker: คุณสามารถตั้งค่าคุกกี้สำหรับ.example.com(หรือexample.comซึ่งเป็นเดียวกัน) และมันจะทำงานสำหรับทั้ง www.example.com และ secure.example.com (กับอุปสรรคที่จะเสมอถูกส่งไปยังทั้งโดเมนย่อย) . นี่คือหน้าโปรดของฉันในหัวข้อนี้: code.google.com/p/browsersec/wiki/…
Chris Lercher
@Farseeker - ใช่คุกกี้แพร่กระจายไปยังโดเมนย่อยอย่างไรก็ตามหากคุณฉลาดน้อยที่สุดก็ไม่ใช่ปัญหา ตัวอย่างเช่น cookie-> log_in / connection-> ssl เป็นต้นมันไม่เหมือน CDN ที่การขาดงานของพวกเขาเป็นประโยชน์พวกเขาเพียงแค่ต้องวางแผนและจัดการ
Tim Post
@ Chris ฉันไม่ทราบว่าคุณสามารถตั้งค่าคุกกี้ได้example.comจากwww.example.com- ฉันจะต้องตรวจสอบเรื่องนี้ ขอบคุณ
Mark Henderson
ด้วยโซลูชันนี้คุณสามารถปฏิเสธ secure.example.com ใน robots.txt ของคุณ ดังนั้น +1 :-)
fwaechter
3

ส่วนตัวแล้วฉันใช้ใบรับรอง SSL Plus ของ DigiCertด้วยทำกับ example.com และ www.example.com ในคำถามอื่น ๆ ของคุณฉันยังคงส่งทุกคนไปที่ www.example.com เพราะจะทำให้ชีวิตง่ายขึ้นในภายหลัง การทำเช่นนี้ในตอนนี้จะทำให้คุณมีโอกาสใช้สิ่งที่ปลอดภัยเช่น example.com ในภายหลัง

ฉันมักจะเพิ่มรหัสเพื่อตรวจสอบว่าผู้ใช้กำลังทำงาน HTTP เมื่อพวกเขาควรจะใช้ HTTPS และเปลี่ยนเส้นทางพวกเขา ฉันมักจะพบว่าสิ่งนี้เกิดขึ้นเฉพาะในระหว่างการเข้าสู่ระบบ แต่ขึ้นอยู่กับเว็บไซต์

ดาร์ริลเฮน
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.