ti-enxame.com

Escolhendo qual domínio proteger

Temos um site que é veiculado em _www.example.com_ e apenas _example.com_ - nunca fizemos nenhum tipo de forçar os usuários de um domínio para o outro, portanto, se eles acessarem _example.com_ então é aí que eles ficam, e eu acho que aqueles que marcaram nossas páginas teriam uma divisão de 50/50 (houve um problema anteriormente em que parte de nosso material omitia a WWW e, anos mais tarde, estamos ainda notando uma divisão de tráfego).

Agora estamos adicionando SSL. Não forçaremos o SSL até que o usuário acesse a página de login ou registro. Em qual domínio devemos executar nosso SSL?

  • _www.example.com_
  • _example.com_
  • _secure.example.com_
  • Algo mais?

Já fiz muitos sites SSL antes, mas eles sempre foram projetados com SSL em mente e sempre forçamos o subdomínio www.

Existem prós e contras de fazê-lo de alguma maneira? Minha principal preocupação é com o reconhecimento de cookies, mas, como estamos forçando o SSL no logon, o cookie da sessão será gravado no domínio SSL. Minha principal preocupação é com as pessoas que podem acessar _https://example.com_ quando estamos executando o site em _https://www.example.com_, etc.

Outra pergunta seria: "Devo reescrever aqueles que chegam ao site não www no site da WWW?

11
Mark Henderson

Eu geralmente uso _secure.domain.com_ porque isso me dá mais flexibilidade quanto à administração. Por exemplo, eu posso colocar esse subdomínio em outro servidor, atrás de um equipamento IDS/IPS melhor e, possivelmente, conectá-lo a uma rede privada na qual não quero que os servidores da web se mexam.

É um bom lugar para estacionar coisas polivalentes, como:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

... etc.

6
Tim Post

Pessoalmente, apenas uso o certificado DigiCert's SSL Plus com o exemplo.com e www.exemplo.com. Como em sua outra pergunta, eu ainda enviava todo mundo para www.example.com, porque facilita a vida mais tarde. Ao fazer isso agora, você também terá a oportunidade de usar algo como secure.example.com posteriormente.

Normalmente, adiciono código para detectar se os usuários estão executando HTTP quando deveriam estar executando HTTPS e redirecioná-los. Acho que isso geralmente acontece apenas durante o login, mas, dependendo do site, também pode acontecer outras vezes.

3
Darryl Hein