我们广泛使用我们称之为 thirdparty.com 的第三方应用程序。 thirdparty.com 和 mysite.com 具有共同的导航和外观,因此对于用户来说,他们认为他们始终在 mysite.com 上。
我们要做的是开始 url 重写 3rd.mysite.com 以显示 thirdparty.com,使其看起来更像是无缝体验。这也使我们能够访问 thirdparty.com 的 cookie,因为它将被写为 mysite.com。
thirdparty.com 有一个 SSL 证书,他们将其用于一些选定的交易(基本上只是登录)。当您调用 https://3rd.mysite.com/login ,您会收到 404,因为 mysite.com 没有 SSL。所以我们要为 3rd.mysite.com 子域安装一个 SSL 证书来缓解这个问题。
问题是,如果我们安装 EV SSL 证书,用户会看到它,还是会降级为来自 thirdparty.com 的证书?我能想到这两种方式都起作用的原因,但我正在寻找一个明确的答案。如果他们看到了 SSL 证书,那么就没有必要在 EVSSL 上浪费金钱。如果他们看到 EVSSL,我认为如果有人非法这样做,那将是网络钓鱼的一个大漏洞。
干杯
最佳答案
如果用户代理将站点视为 thirdparty.com,他们将需要 thirdparty.com 的 https 证书。因此,如果那是 EV 证书,那么他们确实会看到绿光。当然,您需要确保 thirdparty.com 和 mysite.com 之间的任何通信都应该是适当安全的。
(顺便说一句:rfc2606 例如域名。)
免责声明:我真的没有能力回答这个问题,但这是 stackoverflow。
关于security - SSL、EV SSL 和 URL 重写,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2561521/