it-swarm.cn

选择要保护的域名

我们有一个网站在www.example.comexample.com上提供服务 - 我们从来没有做过任何形式强迫用户从一个域到另一个域,所以如果他们落在example.com那就是他们留下的地方,我猜那些给我们的网页加书签的人就是50/50左右的分割(之前有一个问题,我们的一些材料省略了WWW,多年后我们就是仍然注意到交通分流)。

我们现在正在添加SSL。在用户点击登录或注册页面之前,我们不会强制使用SSL。我们应该在哪个域上运行SSL?

  • www.example.com
  • example.com
  • secure.example.com
  • 别的什么?

我以前做过很多SSL网站,但它们总是考虑到SSL设计,我们总是强制使用www子域。

在这些方面做任何事都有利有弊吗?我主要关注的是对cookie的识别,但看到我们在登录时强制使用SSL,会话cookie无论如何都会写在SSL'd域上。我主要担心的是当我们在https://example.com等运行网站时可能会去https://www.example.com的人。

另一个问题是,“我应该将那些登陆非www网站的人改写为WWW网站吗?

11
Mark Henderson

我通常选择secure.domain.com因为它给了我更多的管理灵活性。例如,我可以将该子域放在另一台服务器上,在一些更好的IDS/IPS设备后面,并可能将它连接到我不希望Web服务器接触的专用网络。

它是停放多用途物品的好地方,例如:

  • secure.domain.com/checkout/
  • secure.domain.com/portal/
  • secure.domain.com/support/

...等.

6
Tim Post

我个人只是使​​用 DigiCert的SSL Plus 证书与example.com和www.example.com一起使用。正如在您的另一个问题中,我仍然会将所有人发送到www.example.com,因为它会让以后的生活更轻松。现在这样做,也会让您有机会在以后使用像secure.example.com这样的东西。

我通常添加代码来检测用户是否在运行HTTP时运行HTTP并重定向它们。我发现这通常只发生在登录期间,但根据网站的不同,它也可能发生在其他时间。

3
Darryl Hein