Проблема с заголовками HTTPS и HSTS

Question

Проблема с заголовками HTTPS и HSTS

В моем сценарии в настоящее время у нас есть маршрутизация www3.example.com по нескольким различным путям. Не могли бы вы посоветовать, как нам следует исправить это, чтобы это был лучший подход, возможно, даже просто перенаправить?

«Сайт HTTP перенаправляет пользователей на новый URL-адрес способом, который невозможно защитить с помощью заголовков HTTPS и HSTS. Это оставляет пользователей открытыми для злоумышленников, которые могут перенаправить их на мошенническую/поддельную версию предполагаемого сайта. .

Тип проблемы «Сайт не применяет HTTPS» для получения дополнительной информации о сценариях «человек посередине».

От"http://www3.example.com/, 301, https://example.com/"

нам не нужен этот домен, поэтому лучше всего, чтобы он направлялся прямо на www.example.com , а не перенаправлял, либо cname, либо балансировщик нагрузки.

Каков наилучший способ добиться этого?

0

php http amazon-web-services https hsts

Источник

samtech 08 апр '22 в 14:24

1 ответ

Другие вопросы по тегам php http amazon-web-services https hsts

Luis Alberto Barandiaran 08 апр '22 в 14:59 2022-04-08 14:59 · Answer 1 · 2022-04-08 14:59

Лучший способ — простое перенаправление 301 с вашего HTTP-сайта на HTTPS-сайт, желательно в конечный пункт назначения.

Итак, вместо того, чтобы делать:

      HTTP(ww3) => HTTPS(ww3) => HTTPS (www)

Идите прямо с:

      HTTP(ww3) => HTTPS (www)

По самой природе HTTP его невозможно защитить. Другой подход — полностью отказаться от HTTP-сайта. Однако вы потеряете трафик из поисковых систем, а если у вас есть клиенты, которые обычно просматривают этот сайт, это создаст плохой пользовательский опыт. Редирект 301 — лучший способ добиться того, что вам нужно.

Отдельно я советую вам проверить безопасность вашего HTTPS-сайта. Обсерватория Mozilla — отличное место для начала, поскольку она выполнит за вас множество проверок. Другие инструменты, которые следует проверить, — это сайт Security Headers и лаборатория инструментов SSL .