リダイレクトにのみ使用されるドメインでHTTPSを使用する必要がありますか？

example.comの証明書がない場合、HTTPSで（www.部分なしで）証明書にアクセスしようとすると、エラーが発生し、www.example.comにリダイレクトされない可能性が高くなります。ブラウザがHTTPSをデフォルトのプロトコルとしてますます使用するようになると、これはますます大きな問題になります。

多くの認証局では、1つの証明書リクエストに複数のドメイン名を追加できるため、example.comとwww.example.comの両方に対して1つの証明書を取得できます。

はい、そうすべきです。

シナリオでは、ユーザーがブラウザのアドレスバーにドメインの名前を入力します。プロトコルなし、www.なし、example.comのみ。ほとんどのブラウザは、最初にhttp://example.comへの接続を試みることで応答します。これで、攻撃者はこの要求や応答を妨害する機会を得て、リダイレクトの発生を防ぎ、ユーザーを間違った宛先にリダイレクトしたり、その他の不正な動作をしたりすることを防ぎます。

単にsupportingベースドメインのHTTPSはこれに役立ちません。ブラウザが引き続きHTTP経由で接続するためです最初、そして攻撃者はその時点から何が起こるかを制御します。 （ただし、ブラウザにhttps://example.comと入力するまれなユーザーに優れたエクスペリエンスを提供するという小さな利点があります）。

問題を本当に回避する唯一の方法は、ユーザーがexample.comを入力したときにブラウザがHTTPSを介してすぐに接続し、リダイレクト。これは、ドメインを HSTSプリロードリスト に追加することで（ほとんどのブラウザーで）実現できます。ドメインをプリロードリストに追加するための requirements は、ベースドメインがHTTPS経由で使用可能である必要があることを意味します（含めるために送信できるのはベースドメインのみです。これは、最初の2つの要件についてチェックされるものです。また、4番目の要件で指定されているHSTSヘッダーはHTTPSでのみ有効です）。

したがって、あなたの質問に対する答えは「はい」です。基本ドメインを保護する必要がありますが、他の要件を満たし、ドメインをプリロードリストに追加することも検討する必要があります。

RapidSSL 、 GeoTrust 、 Thawte のSSL証明書を有効にしている場合、ドメインexample.comについて心配する必要はありません。 example.com＆www.example.comなどのドメイン名のwwwバージョンと非wwwバージョンの両方を保護する

しかし、はいwwwドメインwww.example.comを優先ドメインとして維持する必要がある場合は、301リダイレクトを使用して非wwwドメインexample.comをリダイレクトする必要があります。このトピックで提供されている同じクエリのソリューション wwwと非wwwで異なるssl証明書 まだ混乱している場合。

URLの一部の情報を使用して宛先ドメインにリダイレクトする場合は、セキュリティに懸念があるため注意してください。

• クリアテキストクレデンシャル（ https://www.nmmapper.com/st/exploitdetails/44545/39709/sickrage-v20180309-clear-text-credentials-http-response/ ）

Letsencrypt（ https://certbot.eff.org/ ）を使用して、ドメインの無料の証明書を取得できます。リダイレクトがある場合でも。