Nous avons un site Web qui est servi à la fois www.example.com
et juste example.com
- nous n'avons jamais fait aucune sorte de forcer les utilisateurs d'un domaine à l'autre, donc s'ils atterrissent, example.com
c'est là qu'ils restent, et je suppose que ceux de ces qui signent nos pages, il s'agit d'une répartition 50/50 (il y a eu un problème plus tôt où certains de nos documents ont omis le WWW et des années plus tard, nous remarquons toujours une répartition du trafic).
Nous ajoutons maintenant SSL. Nous ne forçons pas SSL jusqu'à ce que l'utilisateur accède à la page de connexion ou d'enregistrement. Sur quel domaine devrions-nous exécuter notre SSL?
www.example.com
example.com
secure.example.com
- Autre chose?
J'ai déjà fait beaucoup de sites SSL auparavant, mais ils ont toujours été conçus avec SSL à l'esprit, et nous avons toujours forcé le sous-domaine www.
Y a-t-il des avantages et des inconvénients à le faire de l'une de ces façons? Ma principale préoccupation concerne la reconnaissance des cookies, mais étant donné que nous forçons SSL à la connexion, le cookie de session sera de toute façon écrit sur le domaine SSL. Ma principale préoccupation est pour les personnes qui pourraient aller https://example.com
lorsque nous exécutons le site https://www.example.com
, etc.
Une autre question serait: "Dois-je réécrire ceux qui atterrissent sur le site non www sur le site WWW?
la source
www.example.com
vous pouvez obtenir un certificat couvrant à la foiswww.example.com
etexample.com
.Réponses:
J'y vais habituellement
secure.domain.com
car cela me donne plus de flexibilité en matière d'administration. Par exemple, je peux mettre ce sous-domaine sur un autre serveur, derrière un meilleur équipement IDS / IPS et éventuellement le connecter à un réseau privé que je ne veux pas que les serveurs Web touchent.C'est un bon endroit pour garer des objets polyvalents, tels que:
... etc.
la source
.example.com
(ouexample.com
, qui est le même), et cela fonctionnera à la fois pour www.example.com et secure.example.com (avec l'inconvénient, il sera toujours envoyé aux deux sous-domaines) . Voici ma page préférée sur ce sujet: code.google.com/p/browsersec/wiki/…example.com
partirwww.example.com
- Je vais devoir examiner cette question . Merci.Personnellement, j'utilise simplement le certificat SSL Plus de DigiCert avec does avec example.com et www.example.com. Comme dans votre autre question, j'enverrais tout le monde à www.example.com car cela rend la vie plus facile plus tard. Faire cela maintenant vous donnera également la possibilité d'utiliser quelque chose comme secure.example.com plus tard.
J'ajoute généralement du code pour détecter si les utilisateurs exécutent HTTP alors qu'ils devraient exécuter HTTPS et les rediriger. Je trouve que cela ne se produit généralement que lors de la connexion, mais selon le site, cela peut également se produire à d'autres moments.
la source