SSL для влияния поддомена на безопасность корневого домена

Question

У меня есть webapp, размещенный на хостинге firebase на example.com. Firebase предоставляет SSL для корневого домена. Теперь я подключил блог-призрак, размещенный на герою на субдомене blog.example.com. Я обрабатываю платежи по кредитным картам через мой webapp (корневой домен). Теперь я не понимаю, должен ли я покупать SSL-сертификат у третьей стороны и предоставить его с моим поддоменом (blog.example.com). Это необходимо для моего блога? может ли это повлиять на безопасность моего корневого домена? Получил бесплатный SSL от чего-то вроде Let's, чтобы зашифровать меня достаточно для субдомена блога.

Answer 1

Короткий ответ: Нет, ваш блог, являющийся незащищенным, не повлияет на вашу безопасность HTTPS вашего webapp в корневом домене (фактически называемом «доменом apex», хотя обычно www.example.com также используется для работы такой же, как и домен вершины в веб-браузерах).

Когда кто-то посещает ваш безопасный веб-сайт через example.com example.com, webapp представит клиенту сертификат, действительный только для example.com (и, возможно, некоторых/всех поддоменов), который был подписан центром сертификации, который большинство клиентов хранят в своем корневом хранилище доверенных. Это подтверждает достаточную степень уверенности в том, что страница, которую они загружают, фактически принадлежит человеку/организации, которой принадлежит домен example.com. Затем клиент/сервер выполняет обмен ключами, а затем запускает шифрование полезной нагрузки в HTTP-сеансе. Это гарантирует, что данные между клиентом/сервером не были изменены, и соединение не может быть перехвачено.

Вы можете запускать другие службы на blog.example.com или somethingelse.example.com, и это не повлияет на безопасность для пользователей, отправляющихся на example.com.

Возможная причина, по которой вы можете использовать HTTPS в своем блоге, заключается в том, что ваш блог содержит ссылки, чтобы указать пользователям на ваш безопасный сайт, и вы хотите, чтобы пользователи всегда направлялись из этих ссылок соответствующим образом. Поскольку ваш блог небезопасен, любой, у кого есть привилегированная сетевая позиция, может изменить, как ваш блог смотрит на кого-то, кто его загружает. Государство или участники интернет-провайдера могут изменить, как ваш блог выглядит почти где угодно, но даже более простой пример злонамеренного пользователя в кафе может повлиять на то, как другие браузеры в кофейне загружают незащищенные сайты практически незаметно. Представьте, если ваш блог содержит ссылку «нажмите здесь, чтобы перейти на мой основной сайт и дать мне деньги», но ссылка была изменена, чтобы перейти на фишинг-сайт, чтобы злоумышленник мог украсть пароли пользователей и/или деньги.

Только вы можете решить, означает ли это, что ваш блог должен иметь безопасность. Хотя настройка HTTPS может быть более эффективной, шифрование всего по умолчанию, безусловно, может только помочь, и многие люди предприняли эту мантру в последние несколько лет. Конечно, Let's Encrypt был бы достаточно хорош для этого.