किस डोमेन को चुनना सुरक्षित है

हमें एक ऐसी वेबसाइट मिली है, जो www.example.comसिर्फ और सिर्फ दोनों ही परोसी गई है example.com- हमने कभी किसी उपयोगकर्ता को एक डोमेन से दूसरे डोमेन पर जाने के लिए बाध्य नहीं किया है, इसलिए यदि वे वहां पर example.comउतरते हैं तो वे वहीं रहते हैं, और मैं उनका अनुमान लगा रहा हूं। जो हमारे पृष्ठों को बुकमार्क करते हैं, वे लगभग 50/50 विभाजित होंगे (पहले एक मुद्दा था जहां हमारी कुछ सामग्री डब्ल्यूडब्ल्यूडब्ल्यू छोड़ दी गई थी और वर्षों बाद हम अभी भी एक यातायात विभाजन देख रहे हैं)।

हम अब SSL जोड़ रहे हैं। हम SSL मजबूर नहीं कर रहे हैं जब तक कि उपयोगकर्ता लॉगिन या रजिस्टर पेज को हिट न करे। हमें अपना SSL किस डोमेन पर चलाना चाहिए?

www.example.com
example.com
secure.example.com
कुछ और?

मैंने पहले बहुत सारी SSL साइटें की हैं, लेकिन वे हमेशा SSL को ध्यान में रखकर तैयार की गई थीं, और हमने हमेशा www सबडोमेन को मजबूर किया।

क्या उन तरीकों में से कोई भी करने के पक्ष और विपक्ष हैं? मेरी प्राथमिक चिंता कुकीज़ की मान्यता के बारे में है, लेकिन जब हम लॉगऑन पर एसएसएल के लिए मजबूर कर रहे हैं, तो देखते हुए, सत्र कुकी वैसे भी SSL'd डोमेन पर लिखा जाएगा। मेरी प्राथमिक चिंता उन लोगों के लिए है जो https://example.comउस साइट पर जा रहे हैं जब हम साइट पर चल रहे हैं https://www.example.com, आदि।

_{एक और सवाल यह होगा, "क्या मुझे उन लोगों को फिर से लिखना चाहिए जो गैर-www साइट पर WWW साइट पर आते हैं?}

— मार्क हेंडरसन
स्रोत

इस बात पर निर्भर करता है कि आप अपना प्रमाण पत्र किससे खरीदते हैं, वे आपको मुफ्त में विषय के रूप में नग्न डोमेन दे सकते हैं। इसलिए यदि आप खरीदते www.example.comहैं तो आपको एक प्रमाणपत्र मिल सकता है जो दोनों को कवर करता है www.example.comऔर example.com।

— माइकल हैम्पटन

जवाबों:

मैं आमतौर पर साथ जाता हूं secure.domain.comक्योंकि यह मुझे प्रशासन के रूप में अधिक लचीलापन देता है। उदाहरण के लिए, मैं उस सबडोमेन को दूसरे सर्वर पर रख सकता हूं, कुछ बेहतर आईडीएस / आईपीएस गियर के पीछे और संभवत: इसे एक निजी नेटवर्क से जोड़ सकता हूं जो मैं नहीं चाहता कि वेब सर्वर छू सकें।

बहु प्रयोजन की चीजों को पार्क करने के लिए यह एक अच्छी जगह है, जैसे:

secure.domain.com/checkout/
secure.domain.com/portal/
secure.domain.com/support/

... आदि।

— टिम पोस्ट
स्रोत

क्या आपको कभी कुकीज़ से परेशानी हुई है? उदाहरण के लिए अगर www.example.com पर कोई कुकी बनाई जाती है तो क्या आप इसे safe.example.com से पढ़ सकते हैं?

— मार्क हेंडरसन

@Farseeker: आप कुकी .example.com(या example.com, जो समान है) के लिए सेट कर सकते हैं , और यह www.example.com और safe.example.com (कमबैक के साथ, दोनों के लिए काम करेगा कि इसे हमेशा दोनों उप-डोमेन में भेजा जाएगा) । इस विषय पर यहाँ मेरा पसंदीदा पृष्ठ है: code.google.com/p/browsersec/wiki/…

— क्रिस लेर्चर

@Farseeker - हाँ, कुकीज़ उप-डोमेन में प्रचारित करती हैं, हालांकि यदि आप कम से कम बिट को इसके गैर-मुद्दे के रूप में चतुर करते हैं। उदाहरण के लिए, कुकी-> log_in / कनेक्शन-> ssl, आदि। यह सीडीएन की तरह नहीं है जहां उनकी अनुपस्थिति फायदेमंद है, बस उन्हें योजनाबद्ध और प्रबंधित किया जाना है।

— टिम पोस्ट

@Chris, मैं तुम्हारे लिए एक कुकी सेट कर सकता है पता नहीं था example.comसे www.example.comमैं इस पर गौर करना होगा -। धन्यवाद।

— मार्क हेंडरसन

इस समाधान के साथ आप अपने robots.txt में Secure.example.com को भी अस्वीकार कर सकते हैं। तो +1। :-)

— fwaechter

व्यक्तिगत रूप से मैं सिर्फ DigiCert के SSL प्लस प्रमाण पत्र का उपयोग करता हूं जैसे example.com और www.example.com के साथ। आपके अन्य प्रश्न के रूप में, मैं अभी भी सभी को www.example.com पर भेजूंगा क्योंकि यह बाद में जीवन को आसान बनाता है। अब ऐसा करने से आपको बाद में Secure.example.com जैसी किसी चीज़ का उपयोग करने का अवसर मिलेगा।

मैं आमतौर पर यह पता लगाने के लिए कोड जोड़ता हूं कि क्या उपयोगकर्ता एचटीटीपीएस चला रहे हैं और उन्हें पुनर्निर्देशित किया जाना चाहिए। मुझे लगता है कि यह आमतौर पर केवल लॉगिन के दौरान होता है, लेकिन साइट के आधार पर, यह अन्य बार भी हो सकता है।

— डैरिल हेन
स्रोत