É necessário um certificado SSL para redirecionamentos?

12

Atualmente, temos um site definido para redirecionar para um novo endereço (nosso cliente alterou os nomes de domínio, mas deseja que o domínio antigo envie pessoas para o novo site) no IIS 8.5 usando redirecionamentos permanentes encontrados no recurso 'Redirecionamento HTTP' do site.

O certificado SSL foi renovado para o domínio antigo e há uma pergunta em aberto em nosso departamento de tecnologia sobre se ele precisa ou não ser renovado.

Com o redirecionamento HTTP configurado no IIS, o site precisa de um certificado SSL? Ou um visitante será redirecionado antes que essas coisas sejam verificadas?

Jeff
fonte

Respostas:

19

Um redirecionamento de http://old.example.com para https://new.example.com não requer um certificado para old.example.com. Mas um redirecionamento de https://old.example.com para https://new.example.com faz isso.

Se os favoritos das pessoas, os resultados da pesquisa nos mecanismos de pesquisa ou outros links externos apontarem para o site https, é melhor renovar o certificado. Se você simplesmente assumir que as pessoas digitam old.example.comno navegador, talvez não seja necessário. No entanto, se eles já estavam no seu site e o navegador é concluído automaticamente no https-url, você ainda precisa dele.

Pelo que entendi, você já tem o redirecionamento instalado há algum tempo, a melhor coisa para verificar (como Tim Brigham já disse) seus logs da web e avaliar se vale a pena. Por outro lado, mesmo que, por algum motivo, você precise de um certificado caro para o site principal (por exemplo, com Validação Estendida), o site de redirecionamento deve ficar bem com um dos certificados gratuitos geralmente aceitos (beginsl, letsencrypt, ...)

Hagen von Eitzen
fonte
3
Ou se old.example.com usasse HSTS.
Damian Yerrick
@DamianYerrick Apenas para esclarecer, o HSTS exige old.example.comter um certificado, certo? I inicialmente levou isso significa o contrário ...
flow2k
Sim. Se o site antigo usasse HSTS, ele precisará de um certificado para concluir o redirecionamento.
Damian Yerrick
16

Sim, você precisará de um novo certificado se o redirecionamento for feito em uma resposta HTTP (um código de retorno 301 ou 302). Se o redirecionamento não funcionar, os visitantes do domínio antigo receberão um erro quando o certificado expirar se eles visitarem o domínio antigo via HTTPS.

Teun Vink
fonte
2

A renovação do seu certificado é um seguro relativamente barato, mas pode ser desnecessário.

tl; dr;

Você pode ou não precisar renovar o certificado. Muitos sites ainda usam http simples para o tráfego de entrada. Se o site antigo for cortado apenas para https quando estiver no carrinho ou algo semelhante, não há um motivo forte para renovar, especialmente se o redirecionamento estiver em vigor há algum tempo.

Eu revisaria pessoalmente os logs do IIS da instância para ver se / quantas solicitações ao domínio antigo estão usando ativamente HTTPS e prosseguir a partir daí.

Tim Brigham
fonte
0

Vamos supor que você esteja movendo um site de www.olddomain.com para www.newdomain.com

Para responder a uma solicitação de https://www.olddomain.com/ sem causar avisos assustadores, você precisa de um certificado que cubra https://www.olddomain.com/ . Isso se aplica independentemente de a resposta que você deseja enviar ser um redirecionamento ou não.

Por outro lado, uma solicitação para http://www.olddomain.com/ pode ser respondida sem a necessidade de certificados.

Os usuários que apenas digitarem o nome do site provavelmente farão uma solicitação para http://www.olddomain.com/ (a menos que você esteja usando o HSTS), mas se o site antigo redirecionou todos anteriormente para https, é provável que os favoritos e os recebedores Os links usarão o URL https. Se seu site antigo usava HSTS, é provável que quase todas as solicitações recebidas estejam em https.

Em vez de ter certificados separados para o domínio antigo e novo, pode ser melhor ter um único certificado que cubra os dois domínios. Isso permitirá que você hospede os dois domínios no mesmo endereço IP sem depender do SNI. A desvantagem dessa abordagem é que muitas autoridades de certificação consideram o domínio múltiplo como um recurso premium e cobram de acordo.

Peter Green
fonte