【问题标题】:Redirect from HTTPS://WWW.DOMAIN wthout SSL to HTTPS://DOMAIN with SSL从不带 SSL 的 HTTPS://WWW.DOMAIN 重定向到带 SSL 的 HTTPS://DOMAIN
【发布时间】:2013-12-13 11:49:47
【问题描述】:

我订购了一个仅涵盖我的根域的 SSL 证书,并且可以通过https://domain.com 成功访问。

我已经创建了一个从https://www.domain.com 到根域的所有请求的重定向。

但是,当尝试访问应该重定向到 https://domain.comhttps://www.domain.com 时,浏览器会返回以下警告,指出继续导航存在安全风险:

这可能不是您要查找的网站!

您试图访问 www.domain.com,但实际上您访问了一个将自己标识为 domain.com 的服务器。这可能是由于服务器上的错误配置或更严重的原因造成的。您网络上的攻击者可能试图让您访问 www.domain.com 的假冒(且可能有害)版本。

您不应该继续,尤其是如果您以前从未见过此网站的警告。

是否有可能使用 HTTPSwww 重定向到 根域 而无需为 www 订购另一个 SSL 证书 仅用于重定向?

PSdomain.com 只是帮助说明问题的占位符。

【问题讨论】:

    标签: apache .htaccess redirect ssl https


    【解决方案1】:

    很遗憾,SSL 证书协商发生在 mod_rewrite 规则生效之前。因此,即使在您的 301 规则可以将 URI 重定向到 non-www 域之前,浏览器已经收到了 non-www 的证书,同时仍在 www 域上。这就是它向访问者表明证书无效的可怕警告。

    你有两个选择:

    1. 推荐)如今的大多数证书都允许您将 www 与 TLD 一起使用,如果这是选项,请检查您提供的内容。
    2. 购买通配符证书(更贵)。

    【讨论】:

    • 非常感谢您的解释!第一点提到的这种证书有具体的名称吗?我买的公司说它只对单个域有效,不包括任何子域还有通配符 SSL,它对许多子域都有效,但我猜这更贵而且不需要?
    • 关于第 2 点:我仍然会在访问 www 下的 https 时收到警告,这会在呈现页面和加载 javascript 之前出现,这是正确的吗?我不太确定我是否遵循这个建议? ;)
    • 实际上您对第 2 点是正确的(我将对其进行编辑并删除)。对于第 1 点,让我搜索该证书的名称。
    • 是的,我听说通配符证书要贵 5 倍。
    • 查看此问答的答案:stackoverflow.com/questions/182192/… 似乎许多证书提供者都免费允许www
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2021-04-10
    • 2015-04-19
    • 1970-01-01
    • 1970-01-01
    • 2014-04-16
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多