Назад | Перейти на главную страницу

Нужен ли мне подстановочный SSL для субдомена www?

У меня есть example.com, example.net и example.biz.

Я использую Apache для перезаписи example.net и example.biz на example.com.

Исходя из этого переписывания, я понял, что мне понадобится сертификат только для example.com, а не example.net и example.biz. Пожалуйста подтвердите.

Я использую подкаталоги, а не поддомены, чтобы структурировать свой сайт.

Единственным исключением является поддомен www.

Если мне нужен SSL как для example.com, так и для www.example.com, нужны ли мне два сертификата или подстановочный сертификат?

Вы бы порекомендовали переписать один из этих доменов на другой и использовать только один сертификат? Если да, то какой из них вы бы порекомендовали использовать и почему?

Когда у меня был сертификат, выпущенный для домена, мой провайдер любезно добавил www в качестве альтернативного имени субъекта, например:

(простите за мою ужасную цензуру) Итак, ответ: не обычно. Большинство провайдеров делают это автоматически. Спросите своего провайдера, если вы не уверены или в сертификате, который они вам выдали, отсутствует это поле.

Примечание: это очень базовый сертификат (9 долларов, который некоторые провайдеры часто предоставляют бесплатно) и у него есть SAN, так что это дешевая альтернатива.

Есть также UCC сертификаты, которые даже лучше чем сертификаты с подстановочными знаками, потому что они могут охватывать более одного доменного имени. Они также используют поле SAN для перечисления доменов, поэтому это поле также не ограничивается одним доменным именем.

Если вы хотите, чтобы сертификат обрабатывал example.com и www.example.com, вам НЕ следует использовать сертификат wilcard, потому что *.example.com не соответствует example.com. Вместо этого вам нужен сертификат, в котором в качестве общего имени указано, например, example.com, а затем добавьте www.example.com к альтернативным именам субъектов.

Также, если вы хотите https://example.net или https://example.biz перенаправить на https://example.com вам необходимо добавить оба этих имени хоста (а также, возможно, отвечающий www.example. *) также к альтернативным именам субъектов, поскольку перенаправление происходит только после подтверждения TLS и проверки сертификата. В противном случае браузер будет жаловаться на недействительные сертификаты, и перенаправление будет эффективным только после того, как пользователь отменит это предупреждение.