it-swarm.com.de

Wird für Weiterleitungen ein SSL-Zertifikat benötigt?

Derzeit ist in IIS 8.5 eine Website so eingestellt, dass sie an eine neue Adresse umleitet (unser Client hat die Domainnamen geändert, möchte jedoch, dass die alte Domain Personen an die neue Site sendet). Dabei werden permanente Weiterleitungen verwendet, die in der HTTP-Umleitung enthalten sind 'Funktion für die Website.

Das SSL-Zertifikat wurde für die alte Domain erneuert, und in unserer technischen Abteilung ist die Frage offen, ob es erneuert werden muss oder nicht.

Benötigt die Site bei der in IIS eingerichteten HTTP-Umleitung ein SSL-Zertifikat? Oder wird ein Besucher umgeleitet, bevor solche Dinge überprüft werden?

12
Jeff

Für eine Weiterleitung von http://old.example.com nach https://new.example.com ist kein Zertifikat für old.example.com Erforderlich. Eine Weiterleitung von https://old.example.com nach https://new.example.com funktioniert jedoch.

Wenn die Lesezeichen von Personen oder Suchmaschinen-Suchergebnisse oder andere externe Links auf die https-Site verweisen, erneuern Sie das Zertifikat besser. Wenn Sie lediglich davon ausgehen, dass Personen old.example.com In ihren Browser eingeben, benötigen Sie ihn möglicherweise nicht. (Wenn sie sich jedoch zuvor auf Ihrer Website befanden und der Browser die https-URL automatisch vervollständigt, benötigen Sie sie weiterhin.).

Soweit ich weiß, haben Sie die Umleitung bereits seit einiger Zeit eingerichtet. Am besten überprüfen Sie (wie Tim Brigham bereits sagte) Ihre Weblogs und bewerten Sie, ob sich der Aufwand lohnt. Selbst wenn Sie aus irgendeinem Grund ein teures Zertifikat für Ihre Hauptwebsite benötigen (z. B. mit erweiterter Validierung), sollte die Umleitungssite mit einem der allgemein akzeptierten kostenlosen Zertifikate (startssl, letsencrypt, ...) in Ordnung sein.

19

Ja, Sie benötigen ein neues Zertifikat, wenn die Umleitung in einer HTTP-Antwort erfolgt (ein 301- oder 302-Rückkehrcode). Wenn Sie dies nicht tun, funktioniert die Umleitung nicht. Besucher der alten Domain erhalten eine Fehlermeldung, dass das Zertifikat abgelaufen ist, wenn sie die alte Domain über HTTPS besuchen.

16
Teun Vink

Das Erneuern Ihres Zertifikats ist eine relativ günstige Versicherung, die jedoch möglicherweise nicht erforderlich ist.

tl; DR;

Möglicherweise müssen Sie das Zertifikat erneuern oder nicht. Viele Websites verwenden immer noch einfaches http für eingehenden Datenverkehr. Wenn die alte Site nur im Warenkorb oder ähnlichem auf https umgestellt wird, gibt es keinen starken Grund für eine Verlängerung, insbesondere wenn die Umleitung bereits seit einiger Zeit vorhanden ist.

Ich würde die IIS - Protokolle für die Instanz persönlich überprüfen, um festzustellen, ob/wie viele Anforderungen an die alte Domäne HTTPS aktiv verwenden, und von dort aus fortfahren.

2
Tim Brigham

Nehmen wir an, Sie verschieben eine Website von www.olddomain.com auf www.newdomain.com

Um auf eine Anfrage nach https://www.olddomain.com/ zu antworten, ohne beängstigende Warnungen auszulösen, benötigen Sie ein Zertifikat, das https://www.olddomain.com/ . Dies gilt unabhängig davon, ob es sich bei der zu sendenden Antwort um eine Weiterleitung handelt oder nicht.

Andererseits kann eine Anfrage nach http://www.olddomain.com/ beantwortet werden, ohne dass Zertifikate erforderlich sind.

Benutzer, die nur Ihren Site-Namen eingeben, werden wahrscheinlich eine Anfrage nach http://www.olddomain.com/ stellen (es sei denn, Sie verwenden HSTS). Wenn Ihre alte Site jedoch zuvor alle zu https umgeleitet hat, verwenden Lesezeichen und eingehende Links wahrscheinlich die https-URL. Wenn Ihre alte Site HSTS verwendet, befinden sich wahrscheinlich fast alle eingehenden Anforderungen auf https.

Anstatt separate Zertifikate für die alte und die neue Domäne zu haben, ist es möglicherweise besser, ein einziges Zertifikat zu haben, das beide Domänen abdeckt. Auf diese Weise können Sie beide Domänen unter derselben IP-Adresse hosten, ohne sich auf SNI verlassen zu müssen. Der Nachteil dieses Ansatzes besteht darin, dass viele Zertifizierungsstellen Multi-Domain als Premium-Funktion betrachten und entsprechend Gebühren erheben.

0
Peter Green