it-swarm-es.com

Elegir qué dominio proteger

Tenemos un sitio web que se sirve tanto en www.example.com como solo example.com: nunca hemos hecho ningún tipo de forzar a los usuarios de un dominio a otro, así que si aterrizan en example.com entonces ahí es donde se quedan, y supongo que de aquellos que marcan nuestras páginas como favoritos, se dividirían 50/50 (hubo un problema anterior en el que parte de nuestro material omitió la WWW y años después estamos todavía notando una división de tráfico).

Ahora estamos agregando SSL. No estamos forzando SSL hasta que el usuario llegue a la página de inicio de sesión o registro. ¿En qué dominio debemos ejecutar nuestro SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • ¿Algo más?

He hecho muchos sitios SSL antes, pero siempre fueron diseñados con SSL en mente, y siempre forzamos el subdominio www.

¿Hay ventajas y desventajas de hacerlo de alguna de esas maneras? Mi principal preocupación es el reconocimiento de cookies, pero dado que estamos forzando SSL al iniciar sesión, la cookie de sesión se escribirá en el dominio SSL'd de todos modos. Mi principal preocupación es para las personas que pueden ir a https://example.com cuando estamos ejecutando el sitio en https://www.example.com, etc.

Otra pregunta sería: "¿Debería reescribir a aquellos que aterrizan en el sitio que no es www en el sitio WWW?

11
Mark Henderson

Normalmente voy con secure.domain.com porque me da más flexibilidad en cuanto a la administración. Por ejemplo, puedo poner ese subdominio en otro servidor, detrás de un mejor equipo IDS/IPS y posiblemente conectarlo a una red privada que no quiero que toquen los servidores web.

Es un buen lugar para estacionar cosas de usos múltiples, como:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... etc.

6
Tim Post

Personalmente solo uso SSL Plus de DigiCert certificado con does con example.com y www.example.com. Como en su otra pregunta, todavía enviaría a todos a www.example.com porque hace la vida más fácil más adelante. Hacer esto ahora, también le dará la oportunidad de usar algo como secure.example.com más adelante.

Por lo general, agrego código para detectar si los usuarios ejecutan HTTP cuando deberían ejecutar HTTPS y redirigirlos. Creo que esto generalmente solo ocurre durante el inicio de sesión, pero dependiendo del sitio, podría ocurrir otras veces también.

3
Darryl Hein