保護するドメインの選択

我々は両方のに役立っているウェブサイトを持っているwww.example.comだけexample.com-私たちは、他の1つのドメインのユーザーを強制するの任意の並べ替えをやったことがない、彼らが上陸そうならばexample.com、彼らが滞在するの、と私はそれらのことを推測していることを、その後私たちのページをブックマークする人は、約50/50に分割されます（以前に一部の資料でWWWが省略されていて、トラフィックの分割にまだ気づいている問題がありました）。

SSLを追加しています。ユーザーがログインページまたは登録ページにアクセスするまで、SSLは強制されません。どのドメインでSSLを実行する必要がありますか？

• www.example.com
• example.com
• secure.example.com
• 他に何か？

私は以前にたくさんのSSLサイトを作成したことがありますが、それらは常にSSLを念頭に置いて設計されており、常にwwwサブドメインを強制しました。

それらの方法のいずれかでそれを行うことの長所と短所はありますか？私の主な関心事はCookieの認識についてですが、ログオン時にSSLを強制しているので、セッションCookieはとにかくSSLされたドメインに書き込まれます。私の主な関心事はhttps://example.com、でサイトを実行しているときにアクセスする可能性がある人々https://www.example.comなどです。

_{別の質問は、「www以外のサイトにアクセスしたユーザーをWWWサイトに書き直すべきでしょうか？」}

私は通常secure.domain.com、それが私に管理に関してより多くの柔軟性を与えるので、行きます。たとえば、そのサブドメインを別のサーバーに配置して、より優れたIDS / IPSギアの背後に配置し、Webサーバーにアクセスさせたくないプライベートネットワークに接続することができます。

次のような多目的のものを駐車するのに最適な場所です。

• secure.domain.com/checkout/
• secure.domain.com/portal/
• secure.domain.com/support/

...など

個人的には、私はexample.comとwww.example.comでDigiCertのSSL Plus証明書を使用しています。他の質問と同様に、後で簡単に利用できるようにするため、全員をwww.example.comに送信します。これを今行うと、後でsecure.example.comのようなものを使用する機会も得られます。

私は通常、ユーザーがHTTPSを実行する必要があるときにHTTPを実行しているかどうかを検出してリダイレクトするコードを追加します。通常、これはログイン時にのみ発生しますが、サイトによっては他の場合にも発生する可能性があります。