Conteúdo misto e sites SSL / URLs relativos ao protocolo

1

Eu tenho um site que era todo HTTP até recentemente, quando foi solicitado que adicionássemos um certificado SSL porque havia uma preocupação com os ataques MIM com um applet de login na página inicial. Eu comprei o certificado, mas percebi que há muitos links específicos de protocolo no HTML. Eu sei que usar links relativos a protocolos é uma técnica sugerida, mas isso significa que cada um dos meus sites que eu linkar para uma inclusão ou imagem de JS também precisará de um certificado, certo? Eu suponho que um certificado curinga pode ser útil se todas as inclusões forem do mesmo domínio, mas eu tenho vários domínios, e o inclui inclui vários deles, então eu não posso apenas ter CN = *. Mydomain.com

Como faço para lidar com isso? RHEL 6, Apache 2.2.15 (versão backport do RHEL), SNI está habilitado, mod_ssl, etc.

    
por usedTobeaMember 21.04.2014 / 23:00

1 resposta

3

Todo o conteúdo precisa ser veiculado por HTTPS para evitar avisos. O que o SSL faria de bom se um invasor ainda pudesse fazer um ataque MITM e alterar, digamos, o jquery js que você está carregando? Eles ainda podem mudar tudo através do javascript.

Então, suas opções são:

  • Mova / copie tudo para o mesmo domínio. Movendo os arquivos, ou proxy reverso ou outros truques.

  • Obtenha certificados SSL separados para cada domínio (o que também geralmente significa endereços IP separados se eles estiverem no mesmo servidor)

  • Obtenha um certificado SAN (Subject Alternate Name). Isso permite que você tenha um certificado que abrange vários domínios e / ou subdomínios especificados. Quantos domínios dependem do provedor e quanto você paga. Eles podem ser combinados com curingas para cobrir todos os subdomínios.

por 22.04.2014 / 00:02