किस डोमेन को चुनना सुरक्षित है


11

हमें एक ऐसी वेबसाइट मिली है, जो www.example.comसिर्फ और सिर्फ दोनों ही परोसी गई है example.com- हमने कभी किसी उपयोगकर्ता को एक डोमेन से दूसरे डोमेन पर जाने के लिए बाध्य नहीं किया है, इसलिए यदि वे वहां पर example.comउतरते हैं तो वे वहीं रहते हैं, और मैं उनका अनुमान लगा रहा हूं। जो हमारे पृष्ठों को बुकमार्क करते हैं, वे लगभग 50/50 विभाजित होंगे (पहले एक मुद्दा था जहां हमारी कुछ सामग्री डब्ल्यूडब्ल्यूडब्ल्यू छोड़ दी गई थी और वर्षों बाद हम अभी भी एक यातायात विभाजन देख रहे हैं)।

हम अब SSL जोड़ रहे हैं। हम SSL मजबूर नहीं कर रहे हैं जब तक कि उपयोगकर्ता लॉगिन या रजिस्टर पेज को हिट न करे। हमें अपना SSL किस डोमेन पर चलाना चाहिए?

  • www.example.com
  • example.com
  • secure.example.com
  • कुछ और?

मैंने पहले बहुत सारी SSL साइटें की हैं, लेकिन वे हमेशा SSL को ध्यान में रखकर तैयार की गई थीं, और हमने हमेशा www सबडोमेन को मजबूर किया।

क्या उन तरीकों में से कोई भी करने के पक्ष और विपक्ष हैं? मेरी प्राथमिक चिंता कुकीज़ की मान्यता के बारे में है, लेकिन जब हम लॉगऑन पर एसएसएल के लिए मजबूर कर रहे हैं, तो देखते हुए, सत्र कुकी वैसे भी SSL'd डोमेन पर लिखा जाएगा। मेरी प्राथमिक चिंता उन लोगों के लिए है जो https://example.comउस साइट पर जा रहे हैं जब हम साइट पर चल रहे हैं https://www.example.com, आदि।

एक और सवाल यह होगा, "क्या मुझे उन लोगों को फिर से लिखना चाहिए जो गैर-www साइट पर WWW साइट पर आते हैं?


इस बात पर निर्भर करता है कि आप अपना प्रमाण पत्र किससे खरीदते हैं, वे आपको मुफ्त में विषय के रूप में नग्न डोमेन दे सकते हैं। इसलिए यदि आप खरीदते www.example.comहैं तो आपको एक प्रमाणपत्र मिल सकता है जो दोनों को कवर करता है www.example.comऔर example.com
माइकल हैम्पटन

जवाबों:


6

मैं आमतौर पर साथ जाता हूं secure.domain.comक्योंकि यह मुझे प्रशासन के रूप में अधिक लचीलापन देता है। उदाहरण के लिए, मैं उस सबडोमेन को दूसरे सर्वर पर रख सकता हूं, कुछ बेहतर आईडीएस / आईपीएस गियर के पीछे और संभवत: इसे एक निजी नेटवर्क से जोड़ सकता हूं जो मैं नहीं चाहता कि वेब सर्वर छू सकें।

बहु प्रयोजन की चीजों को पार्क करने के लिए यह एक अच्छी जगह है, जैसे:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... आदि।


क्या आपको कभी कुकीज़ से परेशानी हुई है? उदाहरण के लिए अगर www.example.com पर कोई कुकी बनाई जाती है तो क्या आप इसे safe.example.com से पढ़ सकते हैं?
मार्क हेंडरसन

@Farseeker: आप कुकी .example.com(या example.com, जो समान है) के लिए सेट कर सकते हैं , और यह www.example.com और safe.example.com (कमबैक के साथ, दोनों के लिए काम करेगा कि इसे हमेशा दोनों उप-डोमेन में भेजा जाएगा) । इस विषय पर यहाँ मेरा पसंदीदा पृष्ठ है: code.google.com/p/browsersec/wiki/…
क्रिस लेर्चर

@Farseeker - हाँ, कुकीज़ उप-डोमेन में प्रचारित करती हैं, हालांकि यदि आप कम से कम बिट को इसके गैर-मुद्दे के रूप में चतुर करते हैं। उदाहरण के लिए, कुकी-> log_in / कनेक्शन-> ssl, आदि। यह सीडीएन की तरह नहीं है जहां उनकी अनुपस्थिति फायदेमंद है, बस उन्हें योजनाबद्ध और प्रबंधित किया जाना है।
टिम पोस्ट

@Chris, मैं तुम्हारे लिए एक कुकी सेट कर सकता है पता नहीं था example.comसे www.example.comमैं इस पर गौर करना होगा -। धन्यवाद।
मार्क हेंडरसन

इस समाधान के साथ आप अपने robots.txt में Secure.example.com को भी अस्वीकार कर सकते हैं। तो +1। :-)
fwaechter

3

व्यक्तिगत रूप से मैं सिर्फ DigiCert के SSL प्लस प्रमाण पत्र का उपयोग करता हूं जैसे example.com और www.example.com के साथ। आपके अन्य प्रश्न के रूप में, मैं अभी भी सभी को www.example.com पर भेजूंगा क्योंकि यह बाद में जीवन को आसान बनाता है। अब ऐसा करने से आपको बाद में Secure.example.com जैसी किसी चीज़ का उपयोग करने का अवसर मिलेगा।

मैं आमतौर पर यह पता लगाने के लिए कोड जोड़ता हूं कि क्या उपयोगकर्ता एचटीटीपीएस चला रहे हैं और उन्हें पुनर्निर्देशित किया जाना चाहिए। मुझे लगता है कि यह आमतौर पर केवल लॉगिन के दौरान होता है, लेकिन साइट के आधार पर, यह अन्य बार भी हो सकता है।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.