1つのhttpsページから別の証明書を使用して別のページに移動

Question

名前、住所などのユーザー情報をキャプチャするBog標準のサインアップページを想像してください。 [今すぐ購入]ボタンがあり、 WorldPay）。

手段（と私が間違っているなら、私を修正）

A）が、私はIIS上のSSL証明書を取得してインストールする必要がありますように。今、要件は、すべてが安全であるべきであるということです

B）私は、これを行う方法を正確にではなく、誰もが、私はそれは壮大だろう知っているしたい場合は探して（サインアップページをセキュアにする必要があります！）

ので、サインアップページが今あると仮定httpsが1つの証明書の下にある場合、WorldPay（SSLの下にあるが別の証明書の下にある）へのリダイレクトに問題があるはずの理由はありますか？

なぜ、私はAJAXなどでこれをやろうとは思いませんが（HTTPS request via AJAX from HTTP page参照）、時にはこれらのことがあなたを噛んでしまうことがあります。

おかげ ダンカン

Answer 1

私はforseeことができる唯一の問題は、あなたがhttps://mysite.com/からhttps://payment.net/への直接フ​​ォームのPOSTを持っている場合は、ユーザーが最も可能性が高いFF3.5は「信頼できない接続」を示し（警告ページが表示されますということです同様のシナリオでは、フィッシング攻撃を防ぐためにそこにあります）。この可能性のある解決策の1つは、mysite.comフォームをmysite.comドメインに提出してから、そこからコントローラまたはそのようなものをユーザに送付することです。 （ただし、ユーザーの個人情報をURLに公開することで、あなたは卑劣な遊びをしていないことに注意してください）

私の推測では、この質問はあなたの支払いサイトが対処する必要があるものですかなり頻繁に。 SSL、警告などを処理するための具体的な推奨事項があるかどうかを知るために連絡することをお勧めします。

Answer 2

同じプロトコール（https）を使用して、あるドメインから別のドメインへのリダイレクトに問題はありません。ただし、ウィルスソフトウェアはこの種のリダイレクトを「フィッシング」として検出することがありますが、WorldPayが信頼できるソースであれば大丈夫です。ユーザーデータをWorldPayに渡そうとしているのですか、WorldPayを支払いエンジンとして使用していますか？ドメインを切り替えるときにPOST/GET変数を使用してユーザー情報を渡すことはしません。

サインアップページへの回答は、ユーザーがSSL暗号化を使用してアカウント情報を入力し、その信頼できるロックアイコンを表示できるように、httpsを強制的に（コードの裏側から）理想的にする必要があることです。

EDIT：コード例

あなたの証明書を取得するには：あなたのIISでは、Webサイトの記録のあなたの特性に行き、[セキュリティ]タブ、[サーバー証明書]をクリックします。証明書発行要求を証明書発行機関（GeoTrust、Verisignなど）に送信する準備が整うまで、ステップバイステッププロセスを完了します。証明書発行要求を完了すると、httpsが機能します。

また、SSLソフトウェアが最新のアップデートで最新であることを確認してください。それは要件をカバーする必要があります。しかし、あなたが基準を遵守していることを確かめるために、WorldPayにも連絡します。