HTTP, HTTPS, общий SSL и SEO - PullRequest
Новая
       50

HTTP, HTTPS, общий SSL и SEO

5 голосов
/ 07 октября 2011

Недавно я просматривал некоторые функции, которые предлагает мой нынешний веб-хостинг, и теперь мне интересно несколько вещей. Даже если вы можете ответить только частично, я ценю любую помощь, которую вы можете предоставить.

У меня есть домен mydomian.com, и хост предлагает общий SSL, поэтому я могу использовать HTTPS по этому адресу https://mydomain.myhost.com. Сертификат SSL подходит для * .myhost.com.

  1. Я не знаю много о SSL, но я предполагаю, что это означает, что данные между пользователями сайта и ЛЮБЫМ доменом на myhost.com зашифрованы. Поэтому было бы любопытно, если бы это означало, что если кто-то на том же хосте, что и я, каким-то образом перехватит данные с моего сайта, сможет ли он их просматривать, поскольку у них также будет адрес https://theirdomain.myhost.com, который использует тот же SSL сертификат? Я, возможно, понятия не имею, и это было в значительной степени предположение.

  2. Если HTTPS используется на странице входа в систему, но после входа другие страницы просматриваются по HTTP, это проблема безопасности?

  3. Есть ли способ показать веб-форму через HTTP для таких ботов, как Google, но реальные пользователи перенаправлены на версию HTTPS? Было бы идеально, если бы это можно было сделать через .htaccess. В настоящее время у меня есть некоторые правила переписывания, которые перенаправляют определенные страницы на HTTPS, а остальные - как HTTP. Поэтому, если посетитель посещает контактную форму, он автоматически получает версию HTTPS, но он автоматически переключается обратно на HTTP для страниц, которые не содержат формы. Итак, через htaccess, есть ли способ направить реальных пользователей на версию HTTPS, но есть ли боты, направленные на версию HTTP? Я хотел бы, чтобы эти страницы все еще индексировались поисковыми системами, но хотел бы, чтобы пользователи видели его через HTTPS.

Заранее благодарим за любую помощь, которую вы можете оказать.

Ответы [ 2 ]

4 голосов
/ 07 октября 2011

Я собираюсь догадаться, что вы будете в порядке на первом месте. Если ваш хост делает это правильно, отдельные субдомены никогда не увидят ключи SSL. Вот как это будет работать:

  1. Какой-то парень с браузером отправляет зашифрованный запрос на ваш сервер субдомена.
  2. Главный сервер вашего хоста получает запрос и расшифровывает его.
  3. Главный сервер отправляет расшифрованный запрос вашему серверу поддоменов.

И все ответы HTTPS, которые вы отправляете обратно, проходят этот процесс в обратном порядке. Должно быть легко проверить, настроили ли они все таким образом: если вы можете настроить общий SSL без личной обработки каких-либо файлов ключей, у вас все хорошо. Если вы на самом деле добрались до некоторых ключевых файлов ... не хорошо.

Для двоих: если вы шифруете логин, вы защищаете пароли, что хорошо. Но если вы потом переключитесь обратно на HTTP, вы будете открыты для других атак. См .: Огненная овца . Могут быть и другие.

И на троих. Да, безусловно, выполнимо. Проверьте mod_rewrite . Не могу привести пример, поскольку я никогда не использовал этот конкретный случай, но я могу указать вам эту страницу - в частности, раздел, озаглавленный «Контент, зависящий от браузера».

Надеюсь, это поможет!

1 голос
/ 07 октября 2011
  1. Каждый трафик шифруется, когда вы используете https: // в качестве протокола.(За исключением некоторых необычных обстоятельств, я не буду здесь говорить).Целью SSL-сертификата является подтверждение личности сервера путем объединения его открытого ключа с идентификацией.Этот сертификат может использоваться только с закрытым ключом , который принадлежит общедоступному.В вашем случае кажется, что этот сертификат, а также пара ключей предоставляется вашим хостинг-провайдером.Я предполагаю, что ни вы, ни другие клиенты на хосте не имеют доступа к этому секретному ключу.Это означает, что только ваш провайдер может расшифровать трафик.Поскольку это всегда так (он работает на сервере, поэтому имеет доступ ко всем данным), это не должно быть проблемой.
  2. В большинстве случаев это проблема безопасности.При каждом последующем незашифрованном http-запросе клиент должен предоставить некоторую информацию о сеансе серверу.Они могут быть перехвачены и использованы злоумышленником.(просто говоря)
  3. Боты должны поддерживать https, почему бы не перенаправить их?В любом случае: Важной частью является не предоставление страницы, содержащей форму, через https.Для защиты данных вашего пользователя вы должны позаботиться о том, чтобы ответ передавался по https.
...