Domanda:
Devo usare HTTPS su un dominio che verrà utilizzato solo per il reindirizzamento?
Michel
2019-03-06 16:39:39 UTC
view on stackexchange narkive permalink

Se ho un dominio, https://www.example.com . Ha un certificato SSL solo per quel dominio.

Desidero anche reindirizzare le persone che digitano solo example.com nella barra degli indirizzi del browser. Devo proteggere il secondo dominio https://example.com e perché, o solo HTTP è sufficiente?

Non utilizzo un certificato SSL con caratteri jolly.

È già fatto, ma la mia domanda è: devo proteggere il non www.Qual è la migliore pratica.
@DeanMeehan è meglio leggere e capire la domanda prima di commentare.
Dovresti usare example.org, example.net o example.com per gli esempi.Altri nomi di dominio come quello che hai usato sono spesso domini commerciali registrati.
Un punto che non è stato ancora menzionato: su ** Chrome ** ti reindirizzerà senza dare errori, quindi a parte gli altri problemi menzionati non c'è problema.Su ** Safari ** se vai alla versione non HTTPS del sito, si confonde e restituirà un errore che dice che il tuo certificato non è valido.
Nota casuale: se hai un certificato jolly * .example.com, non copre ancora example.com (a meno che tu non includa example.com come SAN, che come penso dana abbia alluso, almeno alcune CA lo faranno automaticamentefallo o almeno ricordartelo)
Cinque risposte:
#1
+85
Sjoerd
2019-03-06 17:29:42 UTC
view on stackexchange narkive permalink

Se non proteggi example.com e un utente visita quel sito, un utente malintenzionato man-in-the-middle può manipolare il traffico e mantenere l'utente su example.com , dove può intercettare tutto il traffico.

Non importa se la tua versione di example.com reindirizza a https: //www.example .com / . L'autore dell'attacco può modificare questo comportamento e offrire all'utente una versione HTTP del tuo sito.

È ancora vulnerabile sapendo che "http: // miodominio.com /" reindirizzerà (tramite Apache) tutto il traffico a "https: // www.miodominio.com /"?Quindi, se provi ad andare su "http: // miodominio.com / qualchepagina /" Apache invierà l'utente a "https: // www.miodominio.com /" Inoltre ho qualche vecchio sito web che reindirizzerà `http: //mydomain.com/somepage/? With = param` a` https: //www.mydomain.com/somepage/? With = param`
Sì.Il comportamento legittimo di "http: // miodominio.com /" non è rilevante poiché l'attaccante può modificare tale comportamento con il suo attacco man-in-the-middle.
Ma la prima chiamata sarebbe ancora in http prima di essere reindirizzata a https, quindi il man-in-the-middle può ancora interferire, vero?
@Michel dovresti abilitare [HSTS] (https://www.globalsign.com/en/blog/what-is-hsts-and-how-do-i-use-it/) per risolverlo.I certificati sono gratuiti, nessun motivo per non usarli!
@Josef HSTS non è inutile contro MITM a meno che tu non sia negli elenchi di precaricamento HSTS?L'aggressore può semplicemente rimuovere l'intestazione HSTS del server.
@Fax HSTS non è completamente sicuro se il tuo sito non è negli elenchi di precaricamento, ma non è nemmeno inutile, perché una volta che un client si connette * senza * essere MITMed, caricherà la politica HSTS corretta e non sarà piùvulnerabile.Pertanto, un utente malintenzionato deve catturare il client alla prima connessione o ha perso l'opportunità.
@GordonDavisson e oltre a ciò, entrare negli elenchi di precaricamento è semplicissimo, non c'è motivo per non farlo, una volta confermato che HTTPS funziona.https://hstspreload.org
@Fax è inutile solo se ti aspetti che il 100% dei visitatori dei tuoi siti visiti il sito per la prima volta in un ambiente dannoso.Ma se questo è il tuo modello di minaccia, hai comunque altri problemi.
#2
+17
Teun Vink
2019-03-06 16:44:33 UTC
view on stackexchange narkive permalink

Se non disponi di un certificato per example.com , chiunque tenti di accedervi (senza la parte www. ) su HTTPS riceverà un errore e molto probabilmente non un reindirizzamento a www.example.com . Con i browser che spingono sempre di più HTTPS come protocollo predefinito, questo diventerà un problema crescente.

Molte autorità di certificazione ti consentono di aggiungere più nomi di dominio in una richiesta di certificato, così puoi ottenere un certificato per entrambi > example.com e www.example.com .

I "browser spingono HTTPS come protocollo predefinito"?Qualche browser utilizza HTTPS per impostazione predefinita quando inserisci solo miodominio.com?
@Sjoerd: Sì.Brave prova prima HTTPS per impostazione predefinita e molti utenti di altri browser hanno installato l'estensione HTTPS Everywhere (https://www.eff.org/https-everywhere).
@malexdev Da quanto ho capito, HTTPS ovunque * non * fa sì che il tuo browser utilizzi HTTPS per impostazione predefinita su tutti i siti, nonostante quello che dice il suo nome.Ha semplicemente una [whitelist] (https://www.eff.org/https-everywhere/atlas/) di siti Web che vengono reindirizzati a HTTPS.Non ha effetto su tutti gli altri siti.
* HTTPS Everywhere * di @FedericoPoloni EFF può essere impostato per forzare l'esecuzione di tutte le connessioni utilizzando HTTPS, anche quando si tenta di utilizzare HTTP.La mia esperienza è che, a meno che non si utilizzino solo siti "famosi", quella modalità ha purtroppo la tendenza a non funzionare più di quanto non aiuti.
#3
+2
John Morahan
2019-03-07 19:06:59 UTC
view on stackexchange narkive permalink

Sì, dovresti.

Nel tuo scenario, l'utente digita il nome del tuo dominio nella barra degli indirizzi del browser. Nessun protocollo, nessun www. , solo example.com . La maggior parte dei browser risponderà provando prima a connettersi a http://example.com . Ora un utente malintenzionato ha l'opportunità di interferire con questa richiesta e / o la risposta, impedendo che si verifichi un reindirizzamento o reindirizzando l'utente alla destinazione sbagliata o qualsiasi altro comportamento scorretto.

Semplicemente supporto HTTPS sul dominio di base non aiuta in questo, poiché il browser si connetterà comunque su HTTP prima e l'attaccante controlla cosa succede da quel momento in poi. (Sebbene abbia il vantaggio minore di fornire una migliore esperienza per quei rari utenti che digitano https://example.com nei loro browser).

L'unico modo per evitare il problema è se, quando l'utente digita example.com , il browser si connette immediatamente tramite HTTPS , senza attendere un reindirizzamento. Ciò può essere ottenuto (nella maggior parte dei browser) inserendo il tuo dominio nell ' elenco di precaricamento HSTS. I requisiti per l'aggiunta di un dominio all'elenco di precaricamento implicano che il dominio di base deve essere disponibile su HTTPS (puoi inviare solo il dominio di base per l'inclusione, ed è quello che verrà verificato per i primi due requisiti; inoltre, l'intestazione HSTS come specificato nel quarto requisito è valida solo su HTTPS).

Quindi, la risposta alla tua domanda è sì - dovresti proteggere il dominio di base - ma dovresti anche considerare di soddisfare l'altro requisiti e aggiungendo il dominio all'elenco di precaricamento.

Un bel punto su HSTS, in realtà impone il reindirizzamento del browser prima che qualsiasi risultato venga restituito all'utente.Possiamo effettivamente controllare l '[elenco precaricato di Chromium in questo .json] (https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json).
#4
+1
Dana
2019-03-07 11:54:54 UTC
view on stackexchange narkive permalink

Se hai abilitato il certificato SSL di RapidSSL, GeoTrust, Thawte, non devi preoccuparti del tuo dominio esempio .com perché proteggono la versione www e non www del nome di dominio come example.com & www.example.com

Ma sì, se devi mantenere il dominio www www.example.com come dominio preferito, devi reindirizzare il tuo dominio non www example.com utilizzando il reindirizzamento 301. La stessa soluzione di query fornita in questo argomento certificato SSL diverso per www e non www se sei ancora confuso.

Il certificato può * coprire * sia il dominio nudo che il sottodominio www, ma in realtà non * protegge * entrambi a meno che non sia installato correttamente.
#5
  0
wangolo joel
2019-03-06 17:18:38 UTC
view on stackexchange narkive permalink

Se stai reindirizzando con alcune informazioni nell'URL al dominio di destinazione, fai attenzione, allora c'è preoccupazione per la sicurezza

Puoi utilizzare Letsencrypt ( https://certbot.eff.org/) e ottieni un certificato gratuito per il tuo dominio. anche se ci sono per il reindirizzamento.

Si prega di includere un riepilogo del collegamento nella risposta.Qual è il rischio per la sicurezza?


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...