Chứng chỉ SSL có cần thiết cho các chuyển hướng không?

Hiện tại chúng tôi có một trang web được thiết lập để chuyển hướng đến một địa chỉ mới (khách hàng của chúng tôi đã thay đổi tên miền, nhưng muốn tên miền cũ gửi mọi người đến trang web mới) trong IIS 8.5 bằng cách sử dụng các chuyển hướng vĩnh viễn được tìm thấy trong tính năng 'Chuyển hướng HTTP' cho trang web.

Chứng chỉ SSL đã được đưa ra để gia hạn cho tên miền cũ và có một câu hỏi mở trong bộ phận công nghệ của chúng tôi là liệu nó có cần được gia hạn hay không.

Với Chuyển hướng HTTP được thiết lập trong IIS, trang web có cần chứng chỉ SSL không? Hay một khách truy cập sẽ được chuyển hướng trước khi những thứ như vậy được kiểm tra?

Chuyển hướng từ http://old.example.com đến https://new.example.com không yêu cầu chứng chỉ cho old.example.com. Nhưng một chuyển hướng từ https://old.example.com đến https://new.example.com thì có.

Nếu dấu trang của mọi người hoặc kết quả tìm kiếm của công cụ tìm kiếm hoặc các liên kết bên ngoài khác trỏ đến trang web https, tốt nhất bạn nên gia hạn chứng chỉ. Nếu bạn chỉ cho rằng mọi người gõ old.example.comvào trình duyệt của họ, bạn có thể không cần nó. (Tuy nhiên, nếu họ đã ở trên trang web của bạn trước đó và trình duyệt tự động hoàn thành url-url, bạn vẫn cần nó).

Vì tôi hiểu rằng bạn đã có sự chuyển hướng tại chỗ trong một thời gian, điều tốt nhất để kiểm tra (như Tim Brigham đã nói) nhật ký web của bạn và đánh giá xem nó có đáng để làm phiền không. Sau đó, một lần nữa, ngay cả khi vì một lý do nào đó bạn cần một chứng chỉ đắt tiền cho trang web chính của mình (ví dụ: với Xác thực mở rộng), trang web chuyển hướng sẽ ổn với một trong những certs miễn phí thường được chấp nhận (startedsl, letencrypt, ...)

Có, bạn sẽ cần một chứng chỉ mới nếu việc chuyển hướng được thực hiện trong phản hồi HTTP (mã trả về 301 hoặc 302). Nếu bạn không chuyển hướng sẽ không hoạt động, khách truy cập của tên miền cũ sẽ gặp lỗi khi chứng chỉ hết hạn nếu họ truy cập tên miền cũ qua HTTPS.

Gia hạn chứng chỉ của bạn là bảo hiểm tương đối rẻ, nhưng nó có thể không cần thiết.

tl; dr;

Bạn có thể hoặc không cần gia hạn giấy chứng nhận. Rất nhiều trang web vẫn sử dụng http đơn giản cho lưu lượng truy cập đến. Nếu trang web cũ chỉ cắt qua https khi trong giỏ hàng hoặc tương tự thì không có lý do mạnh mẽ để gia hạn, đặc biệt là nếu chuyển hướng đã được thực hiện trong một thời gian.

Cá nhân tôi sẽ xem xét các bản ghi IIS cho ví dụ để xem / có bao nhiêu yêu cầu đến tên miền cũ đang tích cực sử dụng HTTPS và tiến hành từ đó.

Giả sử bạn đang chuyển một trang web từ www.olddomain.com sang www.newdomain.com

Để trả lời yêu cầu https://www.olddomain.com/ mà không gây ra cảnh báo đáng sợ, bạn cần có chứng chỉ bao gồm https://www.olddomain.com/ . Điều này áp dụng bất kể phản hồi bạn muốn gửi có phải là chuyển hướng hay không.

Mặt khác, một yêu cầu cho http://www.olddomain.com/ có thể được phản hồi mà không cần bất kỳ chứng chỉ nào.

Người dùng chỉ cần nhập tên trang web của bạn có thể sẽ yêu cầu http://www.olddomain.com/ (trừ khi bạn đang sử dụng HSTS) nhưng nếu trang web cũ của bạn trước đây đã chuyển hướng mọi người sang https thì có khả năng là dấu trang và đến liên kết sẽ sử dụng url https. Nếu trang web cũ của bạn đã sử dụng HSTS thì gần như tất cả các yêu cầu đến có khả năng sẽ có trên https.

Thay vì có các chứng chỉ riêng cho miền cũ và mới, tốt hơn là nên có một chứng chỉ duy nhất bao gồm cả hai miền. Điều này sẽ cho phép bạn lưu trữ cả hai tên miền trên cùng một địa chỉ IP mà không cần dựa vào SNI. Nhược điểm của phương pháp này là nhiều CA coi đa miền là một tính năng cao cấp và tính phí theo.