Stack Exchange网络由183个问答社区组成,包括堆栈溢出是开发人员学习、分享知识和建立职业生涯的最大、最受信任的在线社区。
提出问题,找到答案,并与团队堆栈溢出协作。
提出问题,找到答案,并与团队堆栈溢出协作。探索团队
团队
工作问答
在一个结构化且易于搜索的位置内连接和共享知识。
我们目前有一个网站设置为使用站点的“HTTP重定向”功能中的永久重定向重定向到IIS 8.5中的新地址(我们的客户端更改了域名,但希望旧域将用户发送到新站点)。
SSL证书已经为旧域更新,我们的技术部门还存在一个悬而未决的问题,即是否需要更新。
在IIS中设置HTTP重定向后,站点是否需要SSL证书?或者在检查这些内容之前会重定向访问者吗?
来自的重定向http://old.example.com到https://new.example.com不需要证书old.example.com网站。但从https://old.example.com到https://new.example.com做。
old.example.com网站
如果人们的书签、搜索引擎搜索结果或其他外部链接指向https网站,你最好更新证书。如果你仅仅假设人们键入old.example.com网站进入他们的浏览器,你可能不需要它。(但是,如果他们之前在你的网站上,并且浏览器自动完成https-url,你仍然需要它)。
据我所知,你已经有了一段时间的重定向,最好的办法是检查(正如蒂姆·布里厄姆已经说过的)你的网络日志,并评估它是否值得麻烦。然后,即使出于某种原因,您的主站点需要一个昂贵的证书(例如,使用扩展验证),重定向站点应该可以使用一个普遍接受的免费证书(startssl、letsencrypt…)
是的,如果重定向是在HTTP响应中完成的,您将需要一个新证书(301或302返回代码)。如果不这样做,重定向将无法工作,如果旧域的访问者通过HTTPS访问旧域,他们将收到一个错误,即证书过期。
更新您的证书是相对便宜的保险,但可能没有必要。
tl;博士;
您可能需要或不需要续订证书。许多网站仍然使用纯http来接收流量。如果旧站点仅在购物车或类似站点中切换到https,则没有足够的理由进行更新,尤其是重定向已经存在一段时间的情况下。
我会亲自查看实例的IIS日志,以查看是否/有多少对旧域的请求正在使用HTTPS,并从那里继续。
假设您正在从www.olddomain.com到www.newdomain.com
为了响应以下请求https://www.olddomain.com/在不引起可怕警告的情况下,您需要一个涵盖以下内容的证书https://www.olddomain.com/。无论您要发送的响应是否为重定向,这都适用。
另一方面,请求http://www.olddomain.com/无需任何证书即可响应。
只键入您的站点名称的用户可能最终会请求http://www.olddomain.com/(除非您使用的是HSTS)但如果您的旧站点以前将所有人重定向到https,则书签和传入链接很可能会使用https url。如果您的旧站点使用HSTS,那么几乎所有传入的请求都可能位于https上。
另一个问题是,许多浏览器现在都有url的自动补全功能,这意味着如果有人开始键入旧的url,浏览器可能会自动补全到https版本。
与其将旧域和新域的证书分开,不如使用一个覆盖两个域的证书。这将允许您在同一IP地址上托管两个域,而无需依赖SNI。这种方法的缺点是,许多CA将多域视为高级功能,并相应收费。