Czy do przekierowań potrzebny jest certyfikat SSL?

13

Obecnie mamy witrynę skonfigurowaną do przekierowywania na nowy adres (nasz klient zmienił nazwy domen, ale chce, aby stara domena wysyłała ludzi do nowej witryny) w IIS 8.5 przy użyciu trwałych przekierowań znalezionych w funkcji „Przekierowanie HTTP” dla witryny.

Certyfikat SSL pojawił się w celu odnowienia starej domeny. W naszym dziale technicznym pozostaje otwarte pytanie, czy należy go odnowić.

Czy po skonfigurowaniu przekierowania HTTP w usługach IIS witryna potrzebuje certyfikatu SSL? Czy też użytkownik zostanie przekierowany przed sprawdzeniem takich rzeczy?

Jeff
źródło

Odpowiedzi:

20

Przekierowanie z http://old.example.com na https://new.example.com nie wymaga certyfikatu old.example.com. Ale przekierowanie z https://old.example.com na https://new.example.com robi.

Jeśli zakładki osób lub wyniki wyszukiwania w wyszukiwarkach lub inne linki zewnętrzne wskazują na stronę https, lepiej odnowić certyfikat. Jeśli założysz, że ludzie piszą old.example.comw swojej przeglądarce, możesz jej nie potrzebować. (Jeśli jednak były one wcześniej w Twojej witrynie, a przeglądarka automatycznie uzupełnia adres URL https, nadal potrzebujesz).

Rozumiem, że już od jakiegoś czasu masz już przekierowanie, więc najlepiej sprawdzić (jak powiedział Tim Brigham) swoje dzienniki sieciowe i ocenić, czy warto. Z drugiej strony, nawet jeśli z jakiegoś powodu potrzebujesz drogiego certyfikatu dla swojej strony głównej (na przykład z rozszerzoną weryfikacją), witryna przekierowująca powinna być zgodna z jednym z ogólnie przyjętych bezpłatnych certyfikatów (openssl, letsencrypt, ...)

Hagen von Eitzen
źródło
3
Lub jeśli old.example.com użył HSTS.
Damian Yerrick
@DamianYerrick Aby wyjaśnić, HSTS wymaga old.example.composiadania certyfikatu, prawda? Początkowo
rozumiałem
Tak. Jeśli stara witryna używała HSTS, będzie potrzebowała certyfikatu, aby dokończyć przekierowanie.
Damian Yerrick
16

Tak, potrzebny będzie nowy certyfikat, jeśli przekierowanie zostanie wykonane w odpowiedzi HTTP (kod powrotu 301 lub 302). Jeśli nie, przekierowanie nie będzie działać, osoby odwiedzające starą domenę otrzymają błąd, że certyfikat wygasł, jeśli odwiedzą starą domenę przez HTTPS.

Teun Vink
źródło
2

Odnowienie certyfikatu jest stosunkowo tanim ubezpieczeniem, ale może być niepotrzebne.

tl; dr;

Może być konieczne odnowienie certyfikatu. Wiele witryn nadal używa zwykłego http do ruchu przychodzącego. Jeśli stara witryna przełączyła się tylko na https, gdy znajduje się w koszyku itp., Nie ma silnego powodu, aby ją odnowić, zwłaszcza jeśli przekierowanie jest już na miejscu.

Osobiście przejrzałbym dzienniki IIS dla instancji, aby sprawdzić, czy / ile żądań do starej domeny aktywnie korzysta z HTTPS i kontynuować.

Tim Brigham
źródło
0

Załóżmy, że przenosisz witrynę z www.olddomain.com na www.newdomain.com

Aby odpowiedzieć na prośbę o https://www.olddomain.com/ bez powodowania przerażających ostrzeżeń, potrzebujesz certyfikatu obejmującego https://www.olddomain.com/ . Dotyczy to niezależnie od tego, czy odpowiedź, którą chcesz wysłać, jest przekierowaniem, czy nie.

Z drugiej strony na prośbę o adres http://www.olddomain.com/ można odpowiedzieć bez potrzeby posiadania jakichkolwiek certyfikatów.

Użytkownicy, którzy po prostu podadzą nazwę Twojej witryny, prawdopodobnie złożą wniosek o http://www.olddomain.com/ (chyba że korzystasz z HSTS), ale jeśli Twoja stara strona wcześniej przekierowała wszystkich na https, prawdopodobnie zakładki i przychodzące linki będą korzystać z adresu URL https. Jeśli Twoja stara witryna korzystała z HSTS, prawdopodobnie prawie wszystkie przychodzące żądania są wysyłane na https.

Zamiast posiadania oddzielnych certyfikatów dla starej i nowej domeny, lepiej mieć jeden certyfikat obejmujący obie domeny. Umożliwi to hostowanie obu domen pod tym samym adresem IP bez konieczności korzystania z SNI. Wadą tego podejścia jest to, że wiele urzędów certyfikacji traktuje wiele domen jako funkcję premium i odpowiednio nalicza opłaty.

Peter Green
źródło