2016-01-18 127 views
1

我從一個我不擅長的客戶那裏繼承了一個奇怪的情況。該客戶端有3個域名,主要域名是domain-a.com。他們還將domain-b.com和domain-c.com重定向到domain-a.com。所有域名都位於同一臺服務器上。重定向需要SSL嗎?

所以問題出現了,因爲他們在所有3個域上都有SSL證書,而domain-c.com上的證書過期了,他們需要獲得一個新證書。這讓我想,如果它只是重​​定向,他們甚至需要domain-b或domain-c上的證書嗎?還要考慮到domain-c.com域是他們電子郵件的域名,但據我所知,這兩者不會互相影響。

TL; DR:您是否需要SSL證書才能重定向到帶有SSL證書的頁面。

+1

如果某個請求是用於「https:// domain-b.com/anything」或「https:// domain-c.com/anything」的,那麼是的。 –

回答

2

是的。

重定向是發生在SSL信封內的HTTP級別操作。
客戶端需要與原始主機建立SSL連接,然後才能看到重定向,然後在完成重定向之後,它必須建立到目標主機的另一個SSL連接。
所以你肯定需要一個SSL證書重定向到一個頁面。

1

如果您通過TLS向domain-b & domain-c請求比yes,則需要TLS支持。

這裏還有一個與安全有關的方面。純文本通信到domain-b.com & domain-c.com表示純文本重定向到domain-a.com。因爲它重定向到SSL,所以只有與domain-a.com的通信得到保護。這導致域-b & domain-c的重定向容易受到MITM攻擊。攻擊者可以攔截請求並將客戶端重定向到其控制下的其他站點。

這是不容易防範,除非你對所有域訪問者之前訪問過的網站,他們在自己的瀏覽器的預緊名單是像HTTP Strict Transport Security到位(HSTS,RFC)。

在任何情況下,使其更安全:將客戶端升級到TLS對他們的第一次請求任何三個域,並從域-B &域 - 將域的一個時重定向到https,而不是http C。在所有域名上使用預加載的HSTS和HTTP Public Key Pinning,你很好。