我可以忽略/拒绝对我的 heroku 应用程序的某些位置的 https 访问吗？

Question

我正在 Heroku 上开发一个带有几个子域的网站。其中之一是注册（如在signup.myapp.com 中），它需要SSL 访问——当然！但其余的子域名，例如www，则不需要https来访问。

问题是客户只为signup.myapp.com购买了SSL认证。这意味着，当用户尝试使用 https 访问我网站的其他位置时（例如 https://www.myapp.com ），SSL 认证不会生效，浏览器会告诉用户该网站可能是恶意的......不利于品牌推广。

我尝试将站点从 https 重定向到 http，但这当然失败了，因为在发送重定向之前检查了 SSL。

有没有办法可以拒绝从 https 访问我网站的这些位置，以便用户遇到 404 页面等问题？或者，您知道还有其他方法可以处理这种情况吗？ （客户端不愿获取新的 SSL 证书，特别是通配符证书）。

Answer 1

不幸的是，您需要每个域的证书（或您提到的通配符），请参阅例如：

• 如何在没有任何 SSL 证书的情况下将 https 重定向到 http

问题是证书是首先检查的事情，远远早于其他任何事情发生。如果失败，浏览器通常会显示“让我离开这里！”之类的通知。没有对 SSL 到非 SSL 转换的内置支持。

您可以关闭 https://www.example.com （即让您的 Web 服务器不侦听端口 443 ），但这当然不会产生 404，这也不利于品牌推广。

如果只有一个非通配符证书，您唯一能做的就是将所有页面放在该域下。即而不是 https://signup.example.com/a/b/c ，您需要执行 https://www.example.com/signup/a/b /c 或类似的内容。

另一方面，您可以在 GoDaddy 以每年 100 美元以下的价格（或 2 年总计 150 美元）购买证书：

• http://www.godaddy.com/ssl/ssl-certificates.aspx

因此，根据您的情况，它可能会得到回报这而不是进行任何额外的开发。