it-swarm.it

Scelta del dominio da proteggere

Abbiamo un sito Web offerto sia su www.example.com sia su example.com - non abbiamo mai fatto alcun tipo di forzare gli utenti da un dominio all'altro, quindi se atterrano su example.com allora è lì che stanno, e immagino che quelli che aggiungono ai segnalibri le nostre pagine sarebbero circa una divisione del 50/50 (prima c'era un problema in cui parte del nostro materiale aveva omesso il WWW e anni dopo siamo notando ancora una suddivisione del traffico).

Ora stiamo aggiungendo SSL. Non forziamo SSL fino a quando l'utente non accede alla pagina di accesso o di registrazione. Su quale dominio dovremmo eseguire il nostro SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • Qualcos'altro?

Ho già fatto molti siti SSL, ma sono sempre stati progettati tenendo presente SSL e abbiamo sempre forzato il sottodominio www.

Ci sono pro e contro nel farlo in uno di questi modi? La mia preoccupazione principale riguarda il riconoscimento dei cookie, ma visto che stiamo forzando SSL all'accesso, i cookie di sessione verranno comunque scritti sul dominio SSL. La mia preoccupazione principale è per le persone che potrebbero andare a https://example.com quando gestiamo il sito su https://www.example.com, ecc.

Un'altra domanda sarebbe: "Dovrei riscrivere coloro che atterrano sul sito non www sul sito WWW?

11
Mark Henderson

Di solito vado con secure.domain.com perché mi dà più flessibilità per quanto riguarda l'amministrazione. Ad esempio, posso inserire quel sottodominio su un altro server, dietro alcuni attrezzi IDS/IPS migliori e possibilmente collegarlo a una rete privata che non voglio che i server Web tocchino.

È un buon posto per parcheggiare cose multiuso, come:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... eccetera.

6
Tim Post

Personalmente uso semplicemente il certificato Digi Plus di SSL Plus che fa con example.com e www.example.com. Come nella tua altra domanda, invierei comunque tutti a www.example.com perché in seguito renderà la vita più semplice. In questo modo, ti darà anche l'opportunità di utilizzare qualcosa come secure.example.com in seguito.

Di solito aggiungo codice per rilevare se gli utenti eseguono HTTP quando dovrebbero eseguire HTTPS e reindirizzarli. Trovo che questo accada di solito solo durante il login, ma a seconda del sito, potrebbe succedere anche altre volte.

3
Darryl Hein