¿Cuál es la forma óptima (también en cuanto a costos) para proteger los formularios de página (https) en una gran cantidad de dominios y subdominios? ¿Se requieren certificados para todos los dominios? ¿Es una solución poner todos los formularios de página en un único dominio seguro, y en lugar de redirigir desde todos los sitios a este?
Necesita un certificado comodín con soporte de nombre alternativo. Yo uso uno de StartSSL. Debe obtener un certificado de clase 2, por lo que tiene un pequeño costo ($ 60 por un año de emisión de un número ilimitado de certificados de 2 años) pero luego puede crear un certificado que cubra todos los subdominios y dominios de su sitio. .
Es necesario que todos estén en un certificado si solo tiene una dirección IP y luego tiene que usar el soporte de encabezado de host para identificar a qué sitio está intentando acceder el usuario.
Sí: los certificados de seguridad están vinculados a un dominio (incluso example.com y www.example.com necesitarían técnicamente dos certificados o un certificado de dominio múltiple). Puede obtener un certificado comodín, pero creo que siguen siendo muy caros y funcionan para un dominio de segundo nivel.
Sí: creo que deberías estar bien enviando a través de dominios ya que (presumiblemente) posees ambos sitios. Probablemente querrá verificar la referencia en el código del lado del servidor para asegurarse de que proviene de un sitio que pretende hacer (control de spam y seguridad), y le dará un lugar para devolver al usuario.
Es posible que tengas problemas entre dominios, pero creo que estarás bien. Debería poder tener el formulario alojado en un sitio, pero publicará los datos en el sitio seguro.
Acredítelo por la respuesta a continuación en @AJHenderson : use StartSSL. No tenía ni idea. Yo voté su respuesta por esa razón. Ahora estoy usando certificados individuales de StartSSL para SPDY en Nginx en varios dominios, en una IP. Funciona en navegadores más nuevos, sin embargo, no me importan los navegadores / sistemas operativos que no pueden manejarlo debido al contenido de mis sitios.
Es posible obtener un certificado para una dirección IP en lugar de un nombre de dominio. Teóricamente, podría establecer su acción de formulario en la dirección IP para su procesamiento. Con los subdominios, puede obtener un certificado de comodín si todos están bajo el mismo subdominio, pero hay posibles desventajas.
Sin embargo, se encontrará con algunos problemas.
<form />'s o inyecte otros datos. Si esto es solo un formulario de contacto, tal vez usted configure otro sitio con algo genérico (contactusforms.com/clientA, contactusforms.com/clientB) y los dirija allí para esos enlaces o para suscripciones, etc. Creo que lo hará aún tiene problemas si intenta poner el formulario en un <iframe /> .
Lea otras preguntas en las etiquetas tls certificates http