HTTP, HTTPS, SSL compartido y SEO

Question

Hace poco estuve mirando algunas de las características que ofrece mi host web actual, y ahora me pregunto algunas cosas. Incluso si solo puede responder a parte de esto, le agradecería cualquier ayuda que pueda brindar.

Tengo un dominio, mydomian.com, y el host ofrece SSL compartido para que pueda usar HTTPS usando esta dirección https://mydomain.myhost.com. El certificado SSL es válido para * .myhost.com.

1. No sé mucho acerca de SSL, pero estoy suponiendo que esto significa que los datos entre los usuarios del sitio y en cualquier dominio myhost.com están cifrados. Por lo tanto, era curioso si esto significaba que si alguien más en el mismo servidor que yo interceptara de alguna manera los datos de mi sitio, ¿podrían verlo, ya que también tendrían una dirección https://theirdomain.myhost.com, que utiliza el mismo certificado SSL? Puede que no tenga ni idea, y esto fue una gran conjetura.

2. Si HTTPS se utiliza en una página de inicio de sesión, pero después de iniciar sesión las otras páginas se visualizan a través de HTTP, ¿esto es un problema de seguridad?

3. ¿Hay alguna forma de mostrar un formulario web a través de HTTP para bots como Google, pero a los usuarios reales se les redirige a la versión HTTPS? Sería ideal si esto se pudiera hacer a través de .htaccess. Actualmente tengo algunas reglas de reescritura que redirigen ciertas páginas a HTTPS, pero el resto como HTTP. Por lo tanto, si un visitante visita el formulario de contacto, obtiene la versión de HTTPS automáticamente, pero cambia automáticamente a HTTP para las páginas que no contienen formularios. Entonces, a través de htaccess, ¿hay alguna manera de dirigir a los usuarios reales a la versión HTTPS, pero los bots se dirigen a la versión HTTP? Me gustaría que estas páginas sigan siendo indexadas por los motores de búsqueda, pero me gustaría que los usuarios las vean a través de HTTPS.

Gracias de antemano por cualquier ayuda que pueda proporcionar.

Answer 1

Voy a adivinar que estarás bien para el número uno. Si su host lo hace correctamente, los subdominios individuales nunca verán las claves SSL. Así es como funcionaría:

1. Algún tipo con un navegador envía una solicitud cifrada a su servidor de subdominio.
2. El servidor maestro de su host recibe la solicitud y la descifra.
3. El servidor maestro envía la solicitud descifrada a su servidor de subdominio.

Y cualquier respuesta HTTPS que envíe volverá a través de ese proceso a la inversa. Debería ser fácil verificar si han configurado las cosas de esa manera: si puede configurar SSL compartido sin manejar personalmente ningún archivo clave, está bien. Si realmente tienes en tus manos algunos archivos clave ... no es bueno.

Para dos: si encriptas el inicio de sesión, protegerás las contraseñas, lo cual es bueno. Pero si luego vuelve a HTTP, se abre a otros ataques. Ver: Firesheep. Puede haber otros.

Y para tres. Sí, definitivamente factible. Consulte mod_rewrite. No puedo darle un ejemplo, ya que nunca he usado este caso en particular, pero puedo indicarle this page, particularmente la sección titulada "Contenido dependiente del navegador".

Espero que ayude!

Answer 2

1. Cada tráfico se cifra, cuando utiliza https: // como protocolo. (Excepto por algunas circunstancias poco comunes de las que no hablaré aquí). El propósito de un certificado SSL es probar la identidad del servidor, combinando su clave pública con una identidad. Este certificado solo se puede utilizar con la clave privada que pertenece a la pública. En su caso, parece que este certificado, así como el par de claves, lo proporciona su proveedor de alojamiento. Supongo que ni usted ni los otros clientes del host tienen acceso a esta clave privada. Eso significa que solo su proveedor puede descifrar el tráfico. Como ese es siempre el caso (está ejecutando el servidor, por lo que tiene acceso a todos los datos), eso no debería ser un problema.
2. En la mayoría de los casos se trata de un problema de seguridad. En cada solicitud http no encriptada, el cliente debe proporcionar cierta información de la sesión al servidor. Estos pueden ser interceptados y utilizados por un atacante. (simplemente hablando)
3. Los bots deberían ser compatibles con https, ¿por qué no redirigirlos? De todos modos: la parte importante es no proporcionar la página que contiene el formulario a través de https. Para proteger los datos de su usuario, debe tener cuidado de que la respuesta se transfiera a través de https.