HTTP、HTTPS、共享 SSL 和 SEO

Question

我最近正在查看我当前的虚拟主机提供的一些功能，现在想知道一些事情。即使您只能回答部分问题，我也感谢您提供的任何帮助。

我有一个域 mydomian.com，并且主机提供共享 SSL，因此我可以通过使用此地址 https://mydomain.myhost.com 来使用 HTTPS。 SSL 证书适用于 *.myhost.com。

1. 我对 SSL 了解不多，但我假设这意味着站点用户和 myhost.com 上的任何域之间的数据都是加密的。所以很好奇这是否意味着如果与我在同一主机上的其他人以某种方式拦截了我网站上的数据，他们是否能够查看它，因为他们也会有一个使用相同 SSL 证书的https://theirdomain.myhost.com 地址？我可能根本不知道，这几乎是一个猜测。

2. 如果在登录页面上使用 HTTPS，但在登录后通过 HTTP 查看其他页面，这是一个安全问题吗？

3. 是否有任何方法可以通过 HTTP 为 Google 等机器人显示 Web 表单，但是否将真实用户重定向到 HTTPS 版本？如果这可以通过 .htaccess 完成，那将是理想的。我目前有一些重写规则，将某些页面重定向到 HTTPS，但其余的重定向为 HTTP。因此，如果访问者访问联系表单，他们会自动获得 HTTPS 版本，但对于不包含表单的页面，它会自动切换回 HTTP。那么，通过 htaccess，有没有办法将真实用户定向到 HTTPS 版本，但机器人会定向到 HTTP 版本？我希望这些页面仍然被搜索引擎索引，但希望用户通过 HTTPS 看到它。

提前感谢您提供的任何帮助。

Answer 1

我猜你可以排第一。如果您的主机正确执行此操作，则各个子域将永远无法看到 SSL 密钥。以下是它的工作原理：

1. 使用浏览器的人向您的子域服务器发送加密请求。
2. 您主机的主服务器接收请求并对其进行解密。
3. 主服务器将解密后的请求发送到您的子域服务器。

您发回的任何 HTTPS 响应都会反向执行该过程。应该很容易检查他们是否以这种方式进行设置：如果您可以设置共享 SSL 而无需亲自处理任何密钥文件，那么您很好。如果你真的拿到了一些关键文件……那就不好了。

对于两个：如果您加密登录，您可以保护密码，这很好。但是，如果您之后切换回 HTTP，您就会面临其他攻击。请参阅：Firesheep。可能还有其他人。

三个。是的 - 绝对可行。查看mod_rewrite。无法举个例子，因为我从未使用过这种特殊情况，但我可以将您指向 this page - 特别是标题为“浏览器相关内容”的部分。

希望有帮助！

Answer 2

1. 当您使用 https:// 作为协议时，每个流量都会被加密。 （除了一些不寻常的情况我不会在这里谈论）。 SSL 证书的目的是通过将其公钥与身份相结合来证明服务器的身份。此证书只能与属于公共密钥的私钥一起使用。在您的情况下，该证书以及密钥对似乎是由您的托管服务提供商提供的。我猜您和主机上的其他客户都无法访问此私钥。这意味着只有您的提供商能够解密流量。既然总是这样（他正在运行服务器，因此可以访问所有数据），那应该没问题。
2. 在大多数情况下，这是一个安全问题。在每个进一步未加密的 http 请求中，客户端必须向服务器提供一些会话信息。这些可以被攻击者拦截和使用。 （简单来说）
3. 机器人应该支持 https，为什么不重定向它们呢？无论如何：重要的部分是不要通过 https 提供包含表单的页面。为了保护您的用户数据，您应该注意响应是通过 https 传输的。