HTTP, HTTPS, SSL condiviso e SEO

Question

Recentemente ho esaminato alcune delle funzionalità offerte dal mio attuale host web e ora mi sto chiedendo alcune cose. Anche se puoi rispondere solo in parte, apprezzo qualsiasi aiuto tu possa fornire.

Ho un dominio, mydomian.com, e l'host offre SSL condiviso in modo da poter utilizzare HTTPS utilizzando questo indirizzo https://mydomain.myhost.com. Il certificato SSL è valido per * .myhost.com.

1. non so molto su SSL, ma sto assumendo questo significa che i dati tra gli utenti del sito e qualsiasi dominio su myhost.com sono crittografati. Quindi era curioso se questo significasse che se qualcun altro sullo stesso host come me in qualche modo intercettasse i dati dal mio sito sarebbe in grado di visualizzarli, poiché avrebbero anche un indirizzo https://theirdomain.myhost.com, che utilizza lo stesso certificato SSL? Forse non ne ho idea, e questa era praticamente un'ipotesi.

2. Se HTTPS viene utilizzato su una pagina di accesso, ma dopo aver effettuato l'accesso le altre pagine vengono visualizzate su HTTP, si tratta di un problema di sicurezza?

3. C'è un modo per mostrare un modulo Web via HTTP per i bot come Google, ma avere utenti reali reindirizzati alla versione HTTPS? Sarebbe l'ideale se questo potesse essere fatto tramite .htaccess. Al momento ho alcune regole di riscrittura che reindirizzano determinate pagine su HTTPS, ma il resto come HTTP. Quindi, se un visitatore visita il modulo di contatto, ottiene automaticamente la versione HTTPS, ma torna automaticamente su HTTP per le pagine che non contengono moduli. Quindi, via htaccess, c'è un modo per indirizzare gli utenti reali alla versione HTTPS, ma i bot sono diretti alla versione HTTP? Vorrei che queste pagine fossero ancora indicizzate dai motori di ricerca, ma vorrei che gli utenti la vedessero tramite HTTPS.

Grazie in anticipo per qualsiasi aiuto è possibile fornire.

Answer 1

Immagino che starai bene per il numero uno. Se il tuo host lo fa correttamente, i singoli sottodomini non riescono a vedere le chiavi SSL. Ecco come funzionerebbe:

1. Qualcuno con un browser invia una richiesta crittografata al server del sottodominio.
2. Il server master del tuo ospite riceve la richiesta e la decrittografa.
3. Il server master invia la richiesta decrittografata al server del sottodominio.

E tutte le risposte HTTPS inviate passano attraverso tale processo in senso inverso. Dovrebbe essere facile verificare se hanno impostato le cose in questo modo: se puoi impostare SSL condiviso senza gestire personalmente i file chiave, sei a posto. Se in effetti hai messo le mani su alcuni file chiave ... non va bene.

Per due: se si cripta il login, si proteggono le password, il che è buono. Ma se successivamente torni a HTTP, ti apri ad altri attacchi. Vedi: Firesheep. Ci possono essere altri

E per tre. Sì, sicuramente fattibile. Controlla mod_rewrite. Non posso darti un esempio, visto che non ho mai usato questo caso particolare, ma posso indicarti il ​​numero this page, in particolare la sezione "Contenuti dipendenti del browser".

Spero che questo aiuti!

Answer 2

1. Ogni traffico è crittografato quando si utilizza https: // come protocollo. (Ad eccezione di alcune circostanze insolite di cui non parlerò qui). Lo scopo di un certificato SSL è dimostrare l'identità del server, combinando la sua chiave pubblica con un'identità. Questo certificato è utilizzabile solo con la chiave privata appartenente a quella pubblica. Nel tuo caso sembra che questo certificato e la coppia di chiavi siano forniti dal tuo provider di hosting. Immagino che né tu né gli altri clienti sull'host abbiano accesso a questa chiave privata. Ciò significa che solo il tuo provider è in grado di decodificare il traffico. Dal momento che è sempre il caso (sta eseguendo il server, quindi ha accesso a tutti i dati), non dovrebbe esserci alcun problema.
2. Nella maggior parte dei casi è un problema di sicurezza. Su ogni ulteriore richiesta HTTP non crittografata il client deve fornire alcune informazioni della sessione al server. Questi possono essere intercettati e usati da un aggressore. (semplicemente parlando)
3. I robot devono supportare https, perché non reindirizzarli? In ogni caso: la parte importante non è quella di fornire la pagina contenente il modulo tramite https. Per proteggere i dati dell'utente, è necessario assicurarsi che la risposta sia trasferita tramite https.