重定向需要 SSL 证书吗？

Question 1

重定向自http://old.example.com到https://new.example.com不需要证书old.example.com。但是来自的重定向https://old.example.com到https://new.example.com做。

如果人们的书签或搜索引擎搜索结果或其他外部链接指向 https 网站，您最好更新证书。如果您只是假设人们old.example.com在浏览器中输入，您可能不需要它。（但是，如果他们之前访问过您的网站并且浏览器自动完成到 https-url，您仍然需要它）。

据我所知，您已经使用重定向一段时间了，最好的办法是检查（正如 Tim Brigham 所说）您的网络日志并评估是否值得这么麻烦。再说一次，即使出于某种原因您需要为您的主站点购买昂贵的证书（例如，使用扩展验证），重定向站点也应该可以使用普遍接受的免费证书之一（startssl、letsencrypt 等）

Answer

重定向自http://old.example.com到https://new.example.com不需要证书old.example.com。但是来自的重定向https://old.example.com到https://new.example.com做。

如果人们的书签或搜索引擎搜索结果或其他外部链接指向 https 网站，您最好更新证书。如果您只是假设人们old.example.com在浏览器中输入，您可能不需要它。（但是，如果他们之前访问过您的网站并且浏览器自动完成到 https-url，您仍然需要它）。

据我所知，您已经使用重定向一段时间了，最好的办法是检查（正如 Tim Brigham 所说）您的网络日志并评估是否值得这么麻烦。再说一次，即使出于某种原因您需要为您的主站点购买昂贵的证书（例如，使用扩展验证），重定向站点也应该可以使用普遍接受的免费证书之一（startssl、letsencrypt 等）

Question 2

是的，如果重定向是在 HTTP 响应中完成的（返回代码为 301 或 302），则需要新证书。如果不这样做，重定向将不起作用，旧域的访问者如果通过 HTTPS 访问旧域，将收到证书已过期的错误。

Answer

是的，如果重定向是在 HTTP 响应中完成的（返回代码为 301 或 302），则需要新证书。如果不这样做，重定向将不起作用，旧域的访问者如果通过 HTTPS 访问旧域，将收到证书已过期的错误。

Question 3

更新证书是一种相对便宜的保险，但可能是不必要的。

tl; dr;

您可能需要或不需要续订证书。许多网站仍使用纯 http 来处理传入流量。如果旧网站仅在购物车或类似情况下切换到 https，则没有充分的理由进行续订，尤其是如果重定向已经存在一段时间。

我会亲自检查该实例的 IIS 日志以查看对旧域的请求是否/有多少正在主动使用 HTTPS，并从那里继续。

Answer

更新证书是一种相对便宜的保险，但可能是不必要的。

tl; dr;

您可能需要或不需要续订证书。许多网站仍使用纯 http 来处理传入流量。如果旧网站仅在购物车或类似情况下切换到 https，则没有充分的理由进行续订，尤其是如果重定向已经存在一段时间。

我会亲自检查该实例的 IIS 日志以查看对旧域的请求是否/有多少正在主动使用 HTTPS，并从那里继续。

Question 4

假设您正在将网站从www.olddomain.com到www.newdomain.com

为了响应请求https://www.olddomain.com/您需要一份涵盖以下内容的证书，而不会引起可怕的警告https://www.olddomain.com/。无论您要发送的响应是否是重定向，这都适用。

另一方面，请求http://www.olddomain.com/无需任何证书即可响应。

那些只输入你的网站名称的用户最终可能会请求http://www.olddomain.com/（除非您使用 HSTS）但如果您的旧网站之前将所有人重定向到 https，那么书签和传入链接可能会使用 https url。如果您的旧网站使用 HSTS，那么几乎所有传入请求都可能在 https 上。

另一个问题是，许多浏览器现在都具有 URL 自动完成功能，这意味着如果有人开始输入旧的 URL，浏览器可能会自动完成到 https 版本。

与其为新旧域名分别设置证书，不如使用一个证书来覆盖两个域名。这样您就可以在同一个 IP 地址上托管两个域名，而无需依赖 SNI。这种方法的缺点是，许多 CA 认为多域名是一项高级功能，并会收取相应费用。

Answer