В настоящее время у нас есть веб-сайт, настроенный для перенаправления на новый адрес (наш клиент изменил доменные имена, но хочет, чтобы старый домен отправлял людей на новый сайт) в IIS 8.5 с использованием постоянных перенаправлений, обнаруженных в функции «Перенаправление HTTP» для сайта.
Сертификат SSL подошел для продления для старого домена, и в нашем техническом отделе есть открытый вопрос о том, нужно ли его продлевать.
Если в IIS настроено перенаправление HTTP, нужен ли сайту сертификат SSL? Или посетитель будет перенаправлен до проверки таких вещей?
Перенаправление с http://old.example.com к https://new.example.com не требует сертификата для old.example.com. Но перенаправление с https://old.example.com к https://new.example.com делает.
Если закладки людей, результаты поиска в поисковых системах или другие внешние ссылки указывают на https-сайт, вам лучше обновить сертификат. Если вы просто предполагаете, что люди печатают old.example.com в их браузер, возможно, он вам не понадобится. (Однако, если они были на вашем сайте раньше и браузер автоматически заполняет https-url, он вам все равно понадобится).
Насколько я понимаю, у вас уже есть перенаправление в течение некоторого времени, лучше всего проверить (как уже сказал Тим Бригам) свои веб-журналы и оценить, стоит ли это хлопот. Опять же, даже если по какой-то причине вам нужен дорогой сертификат для вашего основного сайта (например, с расширенной проверкой), сайт перенаправления должен работать с одним из общепринятых бесплатных сертификатов (startssl, letsencrypt, ...)
Да, вам понадобится новый сертификат, если перенаправление выполняется в ответе HTTP (код возврата 301 или 302). Если вы этого не сделаете, переадресация не будет работать, посетители старого домена получат сообщение об ошибке: срок действия сертификата истек, если они посетят старый домен через HTTPS.
Продление сертификата - это относительно дешевая страховка, но в этом может быть нет необходимости.
tl; доктор
Возможно, вам придется продлевать сертификат, а может и нет. Многие сайты по-прежнему используют простой http для входящего трафика. Если старый сайт переключается на https только тогда, когда он находится в корзине, или тому подобное, нет веских причин для продления, особенно если перенаправление было на месте некоторое время.
Я бы лично просмотрел журналы IIS для этого экземпляра, чтобы узнать, активно ли / сколько запросов к старому домену использует HTTPS, и исходить оттуда.
Предположим, вы перемещаете сайт с www.olddomain.com на www.newdomain.com.
Чтобы ответить на запрос https://www.olddomain.com/ не вызывая пугающих предупреждений, вам нужен сертификат, охватывающий https://www.olddomain.com/ . Это применяется независимо от того, является ли ответ, который вы хотите отправить, перенаправлением или нет.
С другой стороны, запрос на http://www.olddomain.com/ можно ответить без каких-либо сертификатов.
Пользователи, которые просто вводят название вашего сайта, скорее всего, в конечном итоге сделают запрос на http://www.olddomain.com/ (если вы не используете HSTS), но если ваш старый сайт ранее перенаправлял всех на https, то вполне вероятно, что закладки и входящие ссылки будут использовать https url. Если ваш старый сайт использовал HSTS, то почти все входящие запросы, скорее всего, будут на https.
Вместо того, чтобы иметь отдельные сертификаты для старого и нового домена, может быть лучше иметь один сертификат, охватывающий оба домена. Это позволит вам разместить оба домена на одном IP-адресе, не полагаясь на SNI. Обратной стороной этого подхода является то, что многие центры сертификации считают мультидомен премиальной функцией и взимают соответствующую плату.