Apakah diperlukan Sertifikat SSL untuk pengalihan?

12

Saat ini kami memiliki situs web yang diatur untuk mengalihkan ke alamat baru (klien kami mengubah nama domain, tetapi menginginkan domain lama mengirim orang ke situs baru) di IIS 8.5 menggunakan pengalihan permanen yang ditemukan di fitur 'Pengalihan HTTP' untuk situs tersebut.

Sertifikasi SSL telah muncul untuk pembaruan untuk domain lama, dan ada pertanyaan terbuka di departemen teknologi kami apakah perlu diperbarui atau tidak.

Dengan HTTP Redirect diatur di IIS, apakah situs memerlukan sertifikat SSL? Atau apakah pengunjung akan diarahkan sebelum hal-hal seperti itu diperiksa?

Jeff
sumber

Jawaban:

19

Pengalihan dari http://old.example.com ke https://new.example.com tidak memerlukan sertifikat untuk old.example.com. Tetapi pengalihan dari https://old.example.com ke https://new.example.com .

Jika bookmark orang atau hasil pencarian mesin pencari atau tautan eksternal lainnya mengarah ke situs https, Anda lebih baik memperbarui sertifikat. Jika Anda hanya berasumsi bahwa orang mengetik di old.example.combrowser mereka, Anda mungkin tidak membutuhkannya. (Namun, jika mereka ada di situs Anda sebelumnya dan browser secara otomatis menyelesaikan ke https-url, Anda masih membutuhkannya).

Seperti yang saya mengerti Anda sudah memiliki pengalihan di tempat untuk beberapa waktu, hal terbaik untuk memeriksa (seperti yang sudah dikatakan Tim Brigham) log web Anda dan mengevaluasi apakah itu sepadan dengan kerumitan. Kemudian lagi, bahkan jika karena alasan tertentu Anda memerlukan sertifikat mahal untuk situs utama Anda (misalnya, dengan Validasi Diperpanjang), situs pengarah ulang harus baik-baik saja dengan salah satu sertifikat gratis yang diterima secara umum (startsl, letsencrypt, ...)

Hagen von Eitzen
sumber
3
Atau jika old.example.com menggunakan HSTS.
Damian Yerrick
@DamianYerrick Hanya untuk memperjelas, HSTS memang perlu old.example.commemiliki sertifikat, bukan? Saya awalnya mengambil ini berarti sebaliknya ...
flow2k
Iya. Jika situs lama menggunakan HSTS, maka diperlukan sertifikat untuk menyelesaikan pengalihan.
Damian Yerrick
16

Ya, Anda akan memerlukan sertifikat baru jika pengalihan dilakukan dalam respons HTTP (kode pengembalian 301 atau 302). Jika Anda tidak mengalihkannya tidak akan berfungsi, pengunjung dari domain lama akan mendapatkan kesalahan sertifikat kedaluwarsa jika mereka mengunjungi domain lama melalui HTTPS.

Teun Vink
sumber
2

Perpanjangan sertifikat Anda adalah asuransi yang relatif murah, tetapi mungkin tidak perlu.

tl; dr;

Anda mungkin atau mungkin tidak perlu memperbarui sertifikat. Banyak situs masih menggunakan http polos untuk lalu lintas masuk. Jika situs lama hanya terpotong ke https saat berada di troli atau sejenisnya, tidak ada alasan kuat untuk memperbarui, terutama jika pengalihan telah dilakukan untuk sementara waktu.

Saya pribadi akan meninjau log IIS untuk contoh untuk melihat apakah / berapa banyak permintaan ke domain lama secara aktif menggunakan HTTPS dan melanjutkan dari sana.

Tim Brigham
sumber
0

Mari kita asumsikan Anda memindahkan situs dari www.olddomain.com ke www.newdomain.com

Untuk menanggapi permintaan https://www.olddomain.com/ tanpa menyebabkan peringatan menakutkan, Anda memerlukan sertifikat yang mencakup https://www.olddomain.com/ . Ini berlaku terlepas dari apakah respons yang ingin Anda kirim adalah pengalihan atau tidak.

Di sisi lain, permintaan untuk http://www.olddomain.com/ dapat ditanggapi tanpa memerlukan sertifikat apa pun.

Pengguna yang baru saja mengetik nama situs Anda kemungkinan besar akan membuat permintaan untuk http://www.olddomain.com/ (kecuali jika Anda menggunakan HSTS) tetapi jika situs lama Anda sebelumnya mengarahkan semua orang ke https, maka kemungkinan bookmark dan masuk tautan akan menggunakan url https. Jika situs lama Anda menggunakan HSTS, maka hampir semua permintaan masuk kemungkinan ada di https.

Daripada memiliki sertifikat terpisah untuk domain lama dan baru, mungkin lebih baik memiliki sertifikat tunggal yang mencakup kedua domain tersebut. Ini akan memungkinkan Anda untuk meng-host kedua domain pada alamat IP yang sama tanpa bergantung pada SNI. Kelemahan dari pendekatan ini adalah bahwa banyak CA menganggap multi-domain sebagai fitur premium dan membebankan biaya yang sesuai.

Peter Green
sumber