it-swarm.com.de

Auswahl der zu sichernden Domain

Wir haben eine Website, die sowohl auf www.example.com als auch nur auf example.com geschaltet wird. Wir haben noch nie Nutzer von einer Domain zur anderen gezwungen. Wenn sie also auf example.com landen, bleiben sie dort Diejenigen, die unsere Seiten mit einem Lesezeichen versehen, würden sich über einen 50/50-Split freuen (es gab ein Problem, bei dem einige unserer Materialien das WWW ausgelassen haben und Jahre später wir immer noch einen Traffic-Split bemerken).

Wir fügen jetzt SSL hinzu. Wir erzwingen kein SSL, bis der Benutzer die Anmelde- oder Registrierungsseite aufgerufen hat. Auf welcher Domain sollen wir unser SSL betreiben?

  • www.example.com
  • example.com
  • secure.example.com
  • Etwas anderes?

Ich habe schon viele SSL-Sites erstellt, aber sie wurden immer mit Blick auf SSL entwickelt, und wir haben immer die WWW-Unterdomäne erzwungen.

Gibt es Vor- und Nachteile einer dieser Methoden? Mein Hauptanliegen ist das Erkennen von Cookies, aber da wir SSL bei der Anmeldung erzwingen, wird das Sitzungscookie trotzdem in der SSL-Domäne geschrieben. Mein Hauptanliegen sind Leute, die möglicherweise zu https://example.com wechseln, wenn wir die Site unter https://www.example.com usw. betreiben.

Eine andere Frage wäre: "Sollte ich diejenigen, die auf der Nicht-WWW-Site landen, auf die WWW-Site umschreiben?

11
Mark Henderson

Ich gehe normalerweise mit secure.domain.com, weil es mir mehr Flexibilität in Bezug auf die Administration gibt. Zum Beispiel kann ich diese Subdomain auf einem anderen Server hinter eine bessere IDS/IPS-Ausrüstung stellen und sie möglicherweise an ein privates Netzwerk anschließen, das die Webserver nicht berühren sollen.

Es ist ein guter Ort, um Mehrzweckgegenstände zu parken, wie zum Beispiel:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... usw.

6
Tim Post

Persönlich verwende ich einfach DigiCert's SSL Plus Zertifikat, das mit example.com und www.example.com übereinstimmt. Wie bei Ihrer anderen Frage würde ich trotzdem alle an www.example.com senden, da dies das Leben später einfacher macht. Wenn Sie dies jetzt tun, haben Sie auch die Möglichkeit, später etwas wie secure.example.com zu verwenden.

Normalerweise füge ich Code hinzu, um zu erkennen, ob Benutzer HTTP ausführen, wenn sie HTTPS ausführen sollen, und umzuleiten. Ich finde, dass dies normalerweise nur während der Anmeldung geschieht, aber je nach Site kann es auch zu anderen Zeiten kommen.

3
Darryl Hein