17

我们目前有一个网站设置为使用站点的“HTTP重定向”功能中的永久重定向重定向到IIS 8.5中的新地址(我们的客户端更改了域名,但希望旧域将用户发送到新站点)。

SSL证书已经为旧域更新,我们的技术部门还存在一个悬而未决的问题,即是否需要更新。

在IIS中设置HTTP重定向后,站点是否需要SSL证书?或者在检查这些内容之前会重定向访问者吗?

改进这个问题

4个答案4

重置为默认值
25

来自的重定向http://old.example.comhttps://new.example.com不需要证书old.example.com网站。但从https://old.example.comhttps://new.example.com做。

如果人们的书签、搜索引擎搜索结果或其他外部链接指向https网站,你最好更新证书。如果你仅仅假设人们键入old.example.com网站进入他们的浏览器,你可能不需要它。(但是,如果他们之前在你的网站上,并且浏览器自动完成https-url,你仍然需要它)。

据我所知,你已经有了一段时间的重定向,最好的办法是检查(正如蒂姆·布里厄姆已经说过的)你的网络日志,并评估它是否值得麻烦。然后,即使出于某种原因,您的主站点需要一个昂贵的证书(例如,使用扩展验证),重定向站点应该可以使用一个普遍接受的免费证书(startssl、letsencrypt…)

改进此答案
4
  • 或者如果old.example.com使用HSTS。
    – 达米安·耶里克
    评论 2016年1月13日15:36
  • @Damian Yerrick只是澄清一下,HSTS确实需要old.example.com网站有证书,对吗?我最初认为这是另一种意思。。。
    – 流量2k
    评论 2018年5月15日18:50
  • 对。如果旧站点使用HSTS,则需要证书才能完成重定向。
    – 达米安·耶里克
    评论 2018年5月15日21:36
  • 我可以问一下对这种行为的解释吗?
    – superAnnoying用户
    评论 2022年5月13日11:15
17

是的,如果重定向是在HTTP响应中完成的,您将需要一个新证书(301或302返回代码)。如果不这样做,重定向将无法工作,如果旧域的访问者通过HTTPS访问旧域,他们将收到一个错误,即证书过期。

改进此答案
2

更新您的证书是相对便宜的保险,但可能没有必要。

tl;博士;

您可能需要或不需要续订证书。许多网站仍然使用纯http来接收流量。如果旧站点仅在购物车或类似站点中切换到https,则没有足够的理由进行更新,尤其是重定向已经存在一段时间的情况下。

我会亲自查看实例的IIS日志,以查看是否/有多少对旧域的请求正在使用HTTPS,并从那里继续。

改进此答案
1

假设您正在从www.olddomain.comwww.newdomain.com

为了响应以下请求https://www.olddomain.com/在不引起可怕警告的情况下,您需要一个涵盖以下内容的证书https://www.olddomain.com/。无论您要发送的响应是否为重定向,这都适用。

另一方面,请求http://www.olddomain.com/无需任何证书即可响应。

只键入您的站点名称的用户可能最终会请求http://www.olddomain.com/(除非您使用的是HSTS)但如果您的旧站点以前将所有人重定向到https,则书签和传入链接很可能会使用https url。如果您的旧站点使用HSTS,那么几乎所有传入的请求都可能位于https上。

另一个问题是,许多浏览器现在都有url的自动补全功能,这意味着如果有人开始键入旧的url,浏览器可能会自动补全到https版本。

与其将旧域和新域的证书分开,不如使用一个覆盖两个域的证书。这将允许您在同一IP地址上托管两个域,而无需依赖SNI。这种方法的缺点是,许多CA将多域视为高级功能,并相应收费。

改进此答案

你必须登录来回答这个问题。

不是你想要的答案吗?浏览标记的其他问题.