Chọn tên miền nào an toàn

Chúng tôi đã có một trang web được phục vụ trên cả hai www.example.comvà chỉ example.com- chúng tôi chưa bao giờ thực hiện bất kỳ việc ép buộc người dùng nào từ tên miền này sang tên miền khác, vì vậy nếu họ truy cập example.comthì đó là nơi họ ở và tôi đoán đó là những trang web đó. ai đánh dấu các trang của chúng tôi là khoảng 50/50 (có một vấn đề trước đó về việc một số tài liệu của chúng tôi đã bỏ qua WWW và nhiều năm sau chúng tôi vẫn nhận thấy sự phân chia lưu lượng truy cập).

Chúng tôi hiện đang thêm SSL. Chúng tôi sẽ không ép buộc SSL cho đến khi người dùng truy cập vào trang đăng nhập hoặc đăng ký. Chúng tôi nên chạy SSL trên miền nào?

www.example.com
example.com
secure.example.com
Thứ gì khác?

Trước đây tôi đã thực hiện rất nhiều trang web SSL, nhưng chúng luôn được thiết kế với SSL và chúng tôi luôn buộc phải có tên miền phụ www.

Có những ưu và nhược điểm của việc thực hiện nó theo bất kỳ cách nào? Mối quan tâm chính của tôi là về việc nhận dạng cookie, nhưng khi chúng tôi buộc SSL đăng nhập, cookie phiên sẽ được viết trên miền SSL. Mối quan tâm chính của tôi là dành cho những người có thể truy cập https://example.comkhi chúng tôi đang chạy trang web https://www.example.com, v.v.

_{Một câu hỏi khác là: "Tôi có nên viết lại những người hạ cánh trên trang web không có www lên trang WWW không?}

— Mark Henderson
nguồn

Tùy thuộc vào người bạn mua chứng chỉ của bạn, họ có thể cung cấp cho bạn tên miền trần như một tên thay thế chủ đề miễn phí. Vì vậy, nếu bạn mua, www.example.combạn có thể nhận được một chứng chỉ bao gồm cả www.example.comvà example.com.

— Michael Hampton

Câu trả lời:

Tôi thường đi cùng secure.domain.comvì nó giúp tôi linh hoạt hơn khi quản trị. Chẳng hạn, tôi có thể đặt tên miền phụ đó trên một máy chủ khác, đằng sau một số thiết bị IDS / IPS tốt hơn và có thể gắn nó vào một mạng riêng mà tôi không muốn các máy chủ web chạm vào.

Đây là một nơi tốt để đỗ những thứ đa mục đích, chẳng hạn như:

safe.domain.com/checkout/
safe.domain.com/portal/
safe.domain.com/support/

... Vân vân.

— Tim Post
nguồn

Bạn đã bao giờ gặp rắc rối với cookie? Ví dụ: nếu một cookie được tạo trên www.example.com, bạn có thể đọc nó từ safe.example.com không?

— Đánh dấu Henderson

@Fudeeker: Bạn có thể đặt cookie cho .example.com(hoặc example.com, giống nhau) và nó sẽ hoạt động cho cả www.example.com và Secure.example.com (với nhược điểm là nó sẽ luôn được gửi đến cả hai tên miền phụ) . Đây là trang yêu thích của tôi về chủ đề này: code.google.com/p/browsersec/wiki/ Kẻ

— Chris Lercher

@Fudeeker - Vâng, cookie truyền đến các tên miền phụ, tuy nhiên nếu bạn thậm chí ít thông minh nhất thì đó không phải là vấn đề. Chẳng hạn, cookie-> log_in / kết nối-> ssl, v.v. Nó không giống như một CDN khi sự vắng mặt của họ có lợi, họ chỉ cần được lên kế hoạch và quản lý.

— Tim Post

@Chris, tôi không biết bạn có thể đặt cookie example.comtừ www.example.com- Tôi sẽ phải xem xét điều này. Cảm ơn.

— Mark Henderson

Với giải pháp này, bạn cũng có thể từ chối safe.example.com trong tệp robots.txt của mình. Vậy +1. :-)

— fwaechter

Cá nhân tôi chỉ sử dụng chứng chỉ SSL Plus của DigiCert cùng với example.com và www.example.com. Như trong câu hỏi khác của bạn, tôi vẫn sẽ gửi tất cả mọi người đến www.example.com vì nó giúp cuộc sống sau này dễ dàng hơn. Làm điều này ngay bây giờ, cũng sẽ cung cấp cho bạn cơ hội để sử dụng một cái gì đó như safe.example.com sau này.

Tôi thường thêm mã để phát hiện nếu người dùng đang chạy HTTP khi họ nên chạy HTTPS và chuyển hướng chúng. Tôi thấy điều này thường chỉ xảy ra trong quá trình đăng nhập, nhưng tùy thuộc vào trang web, nó cũng có thể xảy ra vào những thời điểm khác.

— Darryl
nguồn