Un certificat SSL est-il nécessaire pour les redirections?

12

Nous avons actuellement un site Web configuré pour rediriger vers une nouvelle adresse (notre client a changé de nom de domaine, mais souhaite que l'ancien domaine envoie des personnes vers le nouveau site) dans IIS 8.5 en utilisant des redirections permanentes trouvées dans la fonctionnalité `` HTTP Redirect '' pour le site.

Le certificat SSL a été proposé pour le renouvellement de l'ancien domaine, et notre service technique se demande s'il doit être renouvelé ou non.

Avec la redirection HTTP configurée dans IIS, le site a-t-il besoin d'un certificat SSL? Ou un visiteur sera-t-il redirigé avant que de telles choses soient vérifiées?

Jeff
la source

Réponses:

19

Une redirection de http://old.example.com vers https://new.example.com ne nécessite pas de certificat pour old.example.com. Mais une redirection de https://old.example.com vers https://new.example.com le fait.

Si les signets ou les résultats de recherche des moteurs de recherche ou d'autres liens externes pointent vers le site https, vous feriez mieux de renouveler le certificat. Si vous supposez simplement que les gens tapent old.example.comdans leur navigateur, vous n'en aurez peut-être pas besoin. (Cependant, s'ils étaient sur votre site auparavant et que le navigateur se termine automatiquement sur https-url, vous en avez toujours besoin).

Si je comprends bien, vous avez déjà la redirection en place depuis un certain temps, la meilleure chose à vérifier (comme l'a déjà dit Tim Brigham) vos journaux Web et à évaluer si cela en vaut la peine. Là encore, même si pour une raison quelconque vous avez besoin d'un certificat coûteux pour votre site principal (par exemple, avec Extended Validation), le site de redirection devrait convenir à l'un des certificats gratuits généralement acceptés (startssl, letsencrypt, ...)

Hagen von Eitzen
la source
3
Ou si old.example.com a utilisé HSTS.
Damian Yerrick
@DamianYerrick Juste pour clarifier, HSTS nécessite old.example.comd'avoir un cert, non? J'ai d'abord
pensé que
Oui. Si l'ancien site utilisait HSTS, il aura besoin d'un certificat pour terminer la redirection.
Damian Yerrick
16

Oui, vous aurez besoin d'un nouveau certificat si la redirection est effectuée dans une réponse HTTP (un code retour 301 ou 302). Si vous ne le faites pas, la redirection ne fonctionnera pas, les visiteurs de l'ancien domaine recevront une erreur indiquant que le certificat a expiré s'ils visitent l'ancien domaine via HTTPS.

Teun Vink
la source
2

Le renouvellement de votre certificat est une assurance relativement bon marché, mais il peut s'avérer inutile.

tl; dr;

Vous devrez peut-être ou non renouveler le certificat. De nombreux sites utilisent toujours du http simple pour le trafic entrant. Si l'ancien site ne passait à https que dans le panier ou similaire, il n'y a pas de raison valable de renouveler, surtout si la redirection est en place depuis un certain temps.

Je voudrais personnellement examiner les journaux IIS de l'instance pour voir si / combien de demandes à l'ancien domaine utilisent activement HTTPS et continuer à partir de là.

Tim Brigham
la source
0

Supposons que vous déplacez un site de www.olddomain.com vers www.newdomain.com

Afin de répondre à une demande de https://www.olddomain.com/ sans provoquer d'avertissements effrayants, vous avez besoin d'un certificat qui couvre https://www.olddomain.com/ . Cela s'applique que la réponse que vous souhaitez envoyer soit une redirection ou non.

D'un autre côté, il est possible de répondre à une demande de http://www.olddomain.com/ sans avoir besoin de certificats.

Les utilisateurs qui tapent simplement le nom de votre site finiront probablement par faire une demande pour http://www.olddomain.com/ (sauf si vous utilisez HSTS) mais si votre ancien site a précédemment redirigé tout le monde vers https, il est probable que les signets et les messages entrants les liens utiliseront l'URL https. Si votre ancien site utilisait HSTS, presque toutes les demandes entrantes seront probablement sur https.

Plutôt que d'avoir des certificats séparés pour l'ancien et le nouveau domaine, il peut être préférable d'avoir un seul certificat qui couvre les deux domaines. Cela vous permettra d'héberger les deux domaines sur la même adresse IP sans compter sur SNI. L'inconvénient de cette approche est que de nombreuses autorités de certification considèrent le multi-domaine comme une fonctionnalité premium et facturent en conséquence.

Peter Green
la source