Ano, měli byste.
Ve vašem scénáři uživatel zadá název vaší domény do adresního řádku prohlížeče. Žádný protokol, žádný www.
, pouze example.com
. Většina prohlížečů odpoví tak, že se nejprve pokusí připojit k http://example.com
. Útočník má nyní možnost zasáhnout do tohoto požadavku a / nebo odpovědi - zabránit jakémukoli přesměrování, přesměrovat uživatele na nesprávný cíl nebo jiné špatné chování.
Jednoduše podpora HTTPS na základní doméně s tím nepomůže, protože prohlížeč se stále připojuje přes HTTP první a útočník řídí, co se od tohoto okamžiku stane. (I když to má malou výhodu v poskytování lepšího zážitku pro ty vzácné uživatele, kteří do svých prohlížečů zadají https://example.com
).
Jediný způsob, jak skutečně Vyvarujte se problému, pokud když uživatel zadá example.com
, prohlížeč se okamžitě připojí přes HTTPS , aniž by čekal na přesměrování. Toho lze dosáhnout (ve většině prohlížečů) tím, že se vaše doména dostane do seznamu předběžného načtení HSTS. Požadavky na přidání domény do seznamu předběžného načtení naznačují, že základní doména musí být dostupná přes HTTPS (k zařazení můžete odeslat pouze základní doménu, a to bude zkontrolováno u prvních dvou požadavků; záhlaví HSTS, jak je uvedeno ve čtvrtém požadavku, je platné pouze přes HTTPS).
Takže odpověď na vaši otázku je ano - měli byste zabezpečit základní doménu - ale měli byste také zvážit splnění ostatních požadavky a přidání domény do seznamu předběžného načtení.