Otázka:
Mám použít HTTPS na doméně, která bude použita pouze pro přesměrování?
Michel
2019-03-06 16:39:39 UTC
view on stackexchange narkive permalink

Pokud mám doménu, https://www.example.com . Má certifikát SSL pouze pro tuto doménu.

Chci také přesměrovat lidi, kteří do adresního řádku prohlížeče zadají pouze example.com . Mám zabezpečit druhou doménu https://example.com a proč, nebo stačí pouze HTTP?

Nepoužívám zástupný certifikát SSL.

Je to již hotové, ale moje otázka je, zda bych měl zabezpečit jiné www.Jaký je nejlepší postup.
@DeanMeehan je lepší si přečíst a porozumět otázce před komentářem.
Jako příklady byste měli použít example.org, example.net nebo example.com.Jiné názvy domén, jako jste použili, jsou často registrované komerční domény.
Bod, který dosud nebyl zmíněn: V prohlížeči ** Chrome ** vás přesměruje, aniž by došlo k chybám, takže kromě ostatních zde zmíněných problémů není problém.Pokud v prohlížeči ** Safari ** přejdete na jinou verzi webu než HTTPS, bude to zmateno a zobrazí se chyba, že váš certifikát je neplatný.
Náhodná poznámka: pokud jste měli zástupný znak * .example.com, stále se nevztahuje na example.com (pokud neuvedete example.com jako SAN, což, jak si myslím, zmiňovala dana, alespoň některé CA buď automatickyudělejte to nebo alespoň připomeňte)
Pět odpovědi:
Sjoerd
2019-03-06 17:29:42 UTC
view on stackexchange narkive permalink

Pokud nezabezpečíte doménu example.com a uživatel tuto stránku navštíví, může útočník typu man-in-the-middle manipulovat provoz a udržet uživatele na stránce example.com. , kde může zachytit veškerý provoz.

Nezáleží na tom, že vaše verze example.com přesměrovává na https: //www.example .com / . Útočník může toto chování změnit a nabídnout uživateli verzi vašeho webu HTTP.

Je stále zranitelné vědět, že stránka `` http: // mydomain.com / `přesměruje (přes Apache) veškerý provoz na` https: // www.mydomain.com / `?Pokud se tedy pokusíte přejít na `http: // mydomain.com / somepage /` Apache pošle uživatele na `https: // www.mydomain.com /` Také mám nějaké starší webové stránky, které budou přesměrovat `http: //mydomain.com/somepage/? With = param` na` https: //www.mydomain.com/somepage/? With = param`
Ano.Legitimní chování stránky `http: // mydomain.com /` není relevantní, protože útočník může toto chování upravit svým útokem typu man-in-the-middle.
Ale první hovor by byl stále v http před přesměrováním na https, takže člověk uprostřed může stále zasahovat, že?
@Michel byste měli povolit řešení [HSTS] (https://www.globalsign.com/en/blog/what-is-hsts-and-how-do-i-use-it/).Certifikáty jsou zdarma, není důvod je nepoužívat!
@Josef Není HSTS zbytečný proti MITM, pokud nejste na seznamech předběžného načítání HSTS?Útočník může pouze odstranit záhlaví serveru HSTS.
@Fax HSTS není plně zabezpečený, pokud váš web není na seznamech předběžného načtení, ale není to ani zbytečné, protože jakmile se klient připojí *, aniž by byl * MITMed, načte správné zásady HSTS a už nebudouzranitelný.Útočník tedy musí klienta chytit při prvním připojení, jinak ztratil příležitost.
@GordonDavisson a dále, dostat se do seznamů předběžného načtení je mrtvé snadné - není důvod, abyste to neudělali, jakmile potvrdíte, že HTTPS funguje.https://hstspreload.org
@Fax je zbytečné, pouze pokud očekáváte, že 100% návštěvníků vašich stránek navštíví web poprvé ve škodlivém prostředí.Pokud je to ale váš model ohrožení, máte stejně jiné problémy.
Teun Vink
2019-03-06 16:44:33 UTC
view on stackexchange narkive permalink

Pokud nemáte certifikát pro example.com , každému, kdo se k němu pokusí získat přístup (bez části www. ) na HTTPS, se zobrazí chyba a velmi pravděpodobně nejde o přesměrování na www.example.com . Vzhledem k tomu, že prohlížeče stále častěji používají HTTPS jako výchozí protokol, stane se z toho rostoucí problém.

Mnoho certifikačních autorit vám umožňuje přidat více doménových jmen do jednoho požadavku na certifikát, takže můžete získat jeden certifikát pro oba example.com a www.example.com .

Jsou „prohlížeče tlačící HTTPS jako výchozí protokol“?Používá některý prohlížeč ve výchozím nastavení protokol HTTPS, když zadáte pouze mydomain.com?
@Sjoerd: Ano.Brave ve výchozím nastavení nejprve vyzkouší protokol HTTPS a mnoho uživatelů jiných prohlížečů si nainstalovalo rozšíření HTTPS Everywhere (https://www.eff.org/https-everywhere).
@malexdev Z toho, co chápu, HTTPS všude * neumožňuje *, aby váš prohlížeč ve výchozím nastavení používal HTTPS na všech webech, navzdory tomu, co říká jeho název.Má jednoduše [whitelist] (https://www.eff.org/https-everywhere/atlas/) webů, které jsou přesměrovány na HTTPS.Nedělá nic pro všechny ostatní weby.
@FedericoPoloni * HTTPS Everywhere * EFF lze nastavit tak, aby vynutil všechna připojení pomocí HTTPS, i když se někdo pokusí použít HTTP.Mám zkušenosti s tím, že pokud člověk nepoužívá pouze weby s „velkým jménem“, má tento režim bohužel tendenci se více prolomit, než pomoci.
John Morahan
2019-03-07 19:06:59 UTC
view on stackexchange narkive permalink

Ano, měli byste.

Ve vašem scénáři uživatel zadá název vaší domény do adresního řádku prohlížeče. Žádný protokol, žádný www. , pouze example.com . Většina prohlížečů odpoví tak, že se nejprve pokusí připojit k http://example.com . Útočník má nyní možnost zasáhnout do tohoto požadavku a / nebo odpovědi - zabránit jakémukoli přesměrování, přesměrovat uživatele na nesprávný cíl nebo jiné špatné chování.

Jednoduše podpora HTTPS na základní doméně s tím nepomůže, protože prohlížeč se stále připojuje přes HTTP první a útočník řídí, co se od tohoto okamžiku stane. (I když to má malou výhodu v poskytování lepšího zážitku pro ty vzácné uživatele, kteří do svých prohlížečů zadají https://example.com ).

Jediný způsob, jak skutečně Vyvarujte se problému, pokud když uživatel zadá example.com , prohlížeč se okamžitě připojí přes HTTPS , aniž by čekal na přesměrování. Toho lze dosáhnout (ve většině prohlížečů) tím, že se vaše doména dostane do seznamu předběžného načtení HSTS. Požadavky na přidání domény do seznamu předběžného načtení naznačují, že základní doména musí být dostupná přes HTTPS (k zařazení můžete odeslat pouze základní doménu, a to bude zkontrolováno u prvních dvou požadavků; záhlaví HSTS, jak je uvedeno ve čtvrtém požadavku, je platné pouze přes HTTPS).

Takže odpověď na vaši otázku je ano - měli byste zabezpečit základní doménu - ale měli byste také zvážit splnění ostatních požadavky a přidání domény do seznamu předběžného načtení.

Pěkný bod na HSTS, ve skutečnosti vynucuje přesměrování prohlížeče, než se uživateli vrátí jakýkoli výsledek.Můžeme skutečně zkontrolovat [předem načtený seznam Chromia v tomto .json] (https://src.chromium.org/viewvc/chrome/trunk/src/net/http/transport_security_state_static.json).
Dana
2019-03-07 11:54:54 UTC
view on stackexchange narkive permalink

Pokud jste povolili certifikát SSL RapidSSL, GeoTrust, Thawte, nemusíte se o svoji doménu starat příklad .com , protože zabezpečují verzi názvu domény www i bez www, například example.com & www.example.com

Ale ano, pokud potřebujete ponechat doménu www www.example.com jako preferovanou doménu, musíte přesměrovat svoji doménu mimo www example.com pomocí přesměrování 301. Řešení stejného dotazu uvedené v tomto tématu jiný certifikát SSL pro www a jiné než www, pokud jste stále zmatení.

Certifikát může * pokrýt * jak holou doménu, tak subdoménu www, ale ve skutečnosti * nezabezpečuje * oba, pokud není správně nainstalován.
wangolo joel
2019-03-06 17:18:38 UTC
view on stackexchange narkive permalink

Pokud budete přesměrovávat s některými informacemi v URL na cílovou doménu, pak se obávejte o bezpečnost

Můžete použít Letsencrypt ( https://certbot.eff.org/) a získejte zdarma certifikát pro svou doménu. i když existují přesměrování.

Do odpovědi prosím uveďte shrnutí odkazu.Jaké je bezpečnostní riziko?


Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 4.0, pod kterou je distribuován.
Loading...