重定向需要 SSL?
SSL needed on redirect?
我从一个我不是专家的客户那里继承了一个奇怪的情况。这个客户端有3个域名,主要的是,比如domain-a.com。他们还有域-b.com 和域-c.com 重定向到域-a.com。所有域都位于同一台服务器上。
所以问题出现了,因为他们在所有 3 个域上都有 SSL 证书,而域-c.com 上的证书已过期,他们需要获得一个新证书。这让我想到,如果只是重定向,他们甚至需要域 b 或域 c 上的证书吗?还要考虑到domain-c.com域是他们邮箱的域,但据我所知,两者互不影响。
TL;DR:您是否需要在重定向到具有 SSL 证书的页面时使用 SSL 证书。
是。
重定向是在 SSL 信封内发生的 HTTP-level 操作。
客户端需要在 之前 与原始主机建立 SSL 连接 'sees' 重定向,然后在完成重定向后它必须与目标主机建立另一个 SSL 连接。
所以你肯定需要一个 SSL 证书来重定向到一个页面。
如果您通过 TLS 向 domain-b & domain-c 发送请求,则需要 TLS 支持。
其中还有一个与安全相关的方面。到 domain-b.com 和 domain-c.com 的纯文本通信意味着到 domain-a.com 的纯文本重定向。因为它重定向到 SSL,所以只有到 domain-a.com 的通信是安全的。这使得来自 domain-b & domain-c 的重定向容易受到 MITM 攻击。攻击者可以拦截请求并将客户端重定向到他们控制下的其他站点。
这不容易预防,除非您在所有域 和 访问者之前访问了网站 或者他们在浏览器的预加载列表中。
无论如何,为了使其更安全:在第一次请求三个域中的任何一个时将客户端升级到 TLS,并在从 [=24] 转到 domain-a 时重定向到 https 而不是 http =] & domain-c。在所有域上使用带预加载和 HTTP Public Key Pinning 的 HSTS,一切顺利。
我从一个我不是专家的客户那里继承了一个奇怪的情况。这个客户端有3个域名,主要的是,比如domain-a.com。他们还有域-b.com 和域-c.com 重定向到域-a.com。所有域都位于同一台服务器上。
所以问题出现了,因为他们在所有 3 个域上都有 SSL 证书,而域-c.com 上的证书已过期,他们需要获得一个新证书。这让我想到,如果只是重定向,他们甚至需要域 b 或域 c 上的证书吗?还要考虑到domain-c.com域是他们邮箱的域,但据我所知,两者互不影响。
TL;DR:您是否需要在重定向到具有 SSL 证书的页面时使用 SSL 证书。
是。
重定向是在 SSL 信封内发生的 HTTP-level 操作。
客户端需要在 之前 与原始主机建立 SSL 连接 'sees' 重定向,然后在完成重定向后它必须与目标主机建立另一个 SSL 连接。
所以你肯定需要一个 SSL 证书来重定向到一个页面。
如果您通过 TLS 向 domain-b & domain-c 发送请求,则需要 TLS 支持。
其中还有一个与安全相关的方面。到 domain-b.com 和 domain-c.com 的纯文本通信意味着到 domain-a.com 的纯文本重定向。因为它重定向到 SSL,所以只有到 domain-a.com 的通信是安全的。这使得来自 domain-b & domain-c 的重定向容易受到 MITM 攻击。攻击者可以拦截请求并将客户端重定向到他们控制下的其他站点。
这不容易预防,除非您在所有域 和 访问者之前访问了网站 或者他们在浏览器的预加载列表中。
无论如何,为了使其更安全:在第一次请求三个域中的任何一个时将客户端升级到 TLS,并在从 [=24] 转到 domain-a 时重定向到 https 而不是 http =] & domain-c。在所有域上使用带预加载和 HTTP Public Key Pinning 的 HSTS,一切顺利。