Uso un SSL en mi dominio principal, que es el que mis clientes acceden.
Sin embargo, tengo un segundo dominio con el mismo contenido (incluidas las credenciales de inicio de sesión) que utilizo solo para pruebas y desarrollo.
¿Debo asegurar este dominio de prueba también?
Sí, deberías. Es posible que tengas que probar si, por ejemplo. una solicitud en particular funciona a través de HTTPS, pero la prueba en un sistema de producción es una idea mala (el sistema de producción debe permanecer estable), y su sistema de prueba debe coincidir lo más posible con el sistema de producción. En segundo lugar, si está compartiendo los detalles de inicio de sesión entre dominios, ¿por qué el dominio de prueba no debería estar protegido también?
Si el precio del certificado es un problema, lo que puede hacer es:
Tengo un segundo dominio con el mismo contenido (incluidas las credenciales de inicio de sesión) que utilizo solo para pruebas y desarrollo.
Si el segundo dominio proporciona el mismo contenido y tiene las mismas credenciales de inicio de sesión y también se puede acceder a él desde Internet, no hay razón para que no obtenga la misma protección (es decir, SSL) que el primer dominio.
No solo debe usar SSL para sus dominios de prueba, sino que necesita si desea habilitar funciones de seguridad como Precarga de HSTS .
Deberías. Esa es la respuesta corta.
En la respuesta más larga, le sorprendería saber cuántas veces ocurren las vulnerabilidades de seguridad de los usuarios internos de una organización. por ejemplo, si su entorno de prueba tiene credenciales de administrador, entonces una capa de transporte no protegida significa que alguien de su organización (que no es un administrador autorizado) puede rastrear y obtener las credenciales de administrador, lo que no desea.
Si el costo del certificado es un problema, siempre se puede emitir un certificado autofirmado. Pero debe asegurarse de que esta autoridad de firma (quienquiera que esté generando este certificado interno para usted) esté instalada como CA de confianza en los escritorios de prueba. De lo contrario, su navegador podría arrojar el error de que este certificado está firmado por alguien que no es de confianza. Si ejecuta 'certmgr.msc' en Windows, puede ver las CA confiables para cualquier máquina en particular.
Sí ... las pruebas solo son válidas si simulan el entorno de producción, incluso cómo se realiza a través de https. Los certificados de comodines son bastante baratos, por lo que solo ponga el dominio de prueba bajo un subdominio. Probablemente, el dominio de prueba no debería ser público, a menos que el cliente requiera acceso a él desde direcciones IP aleatorias; de lo contrario, ciérrelo en su propio rango de IP en el host virtual o el firewall. Además, es una buena manera de asegurarse de que todo el contenido de su sitio web esté disponible a través de https.
Definitivamente lo necesitas para propósitos de prueba. Hemos tenido situaciones donde el comportamiento de nuestro sistema era diferente en SSL de conexión insegura.
Por razones de seguridad, no es necesario, ya que puede mover sus entornos de prueba detrás de VPN.
Lea otras preguntas en las etiquetas tls