我们当前有一个网站设置为在 IIS 8.5 中重定向到新地址(我们的客户更改了域名,但希望旧域名将人们发送到新网站),使用网站“HTTP 重定向”功能中的永久重定向。
旧域名的 SSL 证书已经需要续订,我们的技术部门对于是否需要续订仍存在疑问。
在 IIS 中设置 HTTP 重定向后,网站是否需要 SSL 证书?或者在检查这些内容之前是否会重定向访问者?
答案1
重定向自http://old.example.com到https://new.example.com不需要证书old.example.com
。但是来自的重定向https://old.example.com到https://new.example.com做。
如果人们的书签或搜索引擎搜索结果或其他外部链接指向 https 网站,您最好更新证书。如果您只是假设人们old.example.com
在浏览器中输入,您可能不需要它。(但是,如果他们之前访问过您的网站并且浏览器自动完成到 https-url,您仍然需要它)。
据我所知,您已经使用重定向一段时间了,最好的办法是检查(正如 Tim Brigham 所说)您的网络日志并评估是否值得这么麻烦。再说一次,即使出于某种原因您需要为您的主站点购买昂贵的证书(例如,使用扩展验证),重定向站点也应该可以使用普遍接受的免费证书之一(startssl、letsencrypt 等)
答案2
是的,如果重定向是在 HTTP 响应中完成的(返回代码为 301 或 302),则需要新证书。如果不这样做,重定向将不起作用,旧域的访问者如果通过 HTTPS 访问旧域,将收到证书已过期的错误。
答案3
更新证书是一种相对便宜的保险,但可能是不必要的。
tl; dr;
您可能需要或不需要续订证书。许多网站仍使用纯 http 来处理传入流量。如果旧网站仅在购物车或类似情况下切换到 https,则没有充分的理由进行续订,尤其是如果重定向已经存在一段时间。
我会亲自检查该实例的 IIS 日志以查看对旧域的请求是否/有多少正在主动使用 HTTPS,并从那里继续。
答案4
假设您正在将网站从www.olddomain.com到www.newdomain.com
为了响应请求https://www.olddomain.com/您需要一份涵盖以下内容的证书,而不会引起可怕的警告https://www.olddomain.com/。无论您要发送的响应是否是重定向,这都适用。
另一方面,请求http://www.olddomain.com/无需任何证书即可响应。
那些只输入你的网站名称的用户最终可能会请求http://www.olddomain.com/(除非您使用 HSTS)但如果您的旧网站之前将所有人重定向到 https,那么书签和传入链接可能会使用 https url。如果您的旧网站使用 HSTS,那么几乎所有传入请求都可能在 https 上。
另一个问题是,许多浏览器现在都具有 URL 自动完成功能,这意味着如果有人开始输入旧的 URL,浏览器可能会自动完成到 https 版本。
与其为新旧域名分别设置证书,不如使用一个证书来覆盖两个域名。这样您就可以在同一个 IP 地址上托管两个域名,而无需依赖 SNI。这种方法的缺点是,许多 CA 认为多域名是一项高级功能,并会收取相应费用。