我们广泛使用第三方应用,我们称之为thirdparty.com。 thirdparty.com和mysite.com有一个共同的导航和外观,所以对用户来说,他们认为他们总是在mysite.com上。
我们要做的是启动网址重写3rd.mysite.com以显示thirdparty.com,使其看起来更像是无缝体验。这也让我们可以访问thirdparty.com的cookie,因为它将被写成mysite.com。
thirdparty.com拥有一个SSL证书,用于一些选择的交易(基本上只是登录)。当你致电https://3rd.mysite.com/login时,你会得到一个404,因为mysite.com没有SSL。因此,我们将在3rd.mysite.com子域中安装SSL证书以缓解此问题。
问题是,如果我们安装EV SSL证书,用户会看到它,还是会从thirdparty.com升级到证书?我可以想到这两种方式的原因,但我正在寻找一个明确的答案。如果他们看到SSL证书,那么在EVSSL上浪费钱是没有意义的。如果他们看到EVSSL,我认为如果有人非法这样做,这对于网络钓鱼来说将是一个很大的开端。
干杯
答案 0 :(得分:1)
如果用户代理将该网站视为thirdparty.com
,则他们将需要thirdparty.com
的https证书。因此,如果这是一个EV证书,那么他们确实会看到绿色的光芒。当然,您需要确保thirdparty.com
和mysite.com
之间的任何通信都应该是适当安全的。
(顺便说一下:rfc2606例如域名。)
免责声明:我不是很有能力回答这个问题,但这是stackoverflow。