重定向所需的SSL？

Question

我从一个客户那里继承了一个我不擅长的奇怪情况。这个客户端有3个域名，主要的域名是，例如，dom-a.com。他们还拥有域名-b.com和域名-c.com重定向到域-a.com。所有域都位于同一台服务器上。

所以问题出现了，因为他们在所有3个域上都有SSL证书，而域-c.com上的证书过期了，他们需要获得一个新的证书。这让我想到，如果只是重定向，他们是否需要域-b或域-c上的证书？也要考虑域名-c.com域是他们电子邮件的域名，但据我所知，这两个域名并不相互影响。

TL;DR:您是否需要SSL证书重定向到具有SSL证书的页面。

Answer 1

是的，

重定向是发生在SSL信封内的HTTP级别的操作。

客户端需要在“看到”重定向之前建立到原始主机的连接，然后在完成重定向之后必须建立到目标主机的另一个连接。

因此，在重定向到一个带有SSL证书的页面时，您肯定需要一个SSL证书。

Answer 2

如果您有通过TLS请求域-b&域-c而不是是，则需要TLS对它们的支持。

其中还有一个与安全有关的方面。纯文本通信到域-b.com和dom-c.com是指将纯文本重定向到dom-a.com。因为它重定向到SSL，所以只有到域-a.com的通信是安全的。这使重定向从域-b&域-c容易受到MITM攻击。攻击者可以拦截请求并将客户端重定向到其控制下的其他站点。

这是不容易防止的，除非您在所有域上都有类似HTTP严格传输安全 (HSTS，RFC)的东西，并且访问者以前访问过这些站点，或者他们在浏览器的预加载列表中。

无论如何，为了使其更安全:在客户端第一次请求时将其升级到TLS到这三个域中的任何一个，并在进入域-a发出域-b&domain时重定向到https，而不是http。在所有域上使用带有预加载和HTTP公钥钉扎的HSTS，这样就很好了。