sirve significan significado siglas que puerto protocolo para link las https

significan - ¿HTTPS redirige desde el dominio raíz(es decir, ápice o "desnudo") al subdominio "www" sin que el navegador lance?



que es https y para que sirve (2)

Los registros DNS A requieren que una dirección IP esté codificada en la configuración DNS de su aplicación

... que Heroku recomienda evitar . Heroku sugiere dos soluciones:

... utilizando un proveedor de DNS que sea compatible con la funcionalidad CNAME en el vértice y con la redirección de subdominios ".

Mi pregunta gira en torno a la última opción (porque la primera no es compatible con DreamHost AFAIK):

¿Es posible redireccionar desde el dominio raíz (es decir, ápice o "desnudo") al subdominio "www" para solicitudes HTTPS sin que el navegador lance?

Heroku piensa que no:

... las aplicaciones que requieren cifrado SSL deben usar la configuración ALIAS / ANAME en el dominio raíz. La redirección de subdominios causará un error de navegador cuando el dominio raíz se solicita a través de SSL (es decir, https://example.com ).

... pero espero que sea una declaración incompleta (o incorrecta).

ACTUALIZACIÓN DE CLARIFICACIÓN:

El problema real con la redirección de apex a ''www'' es que escribir https://example.com directamente en un navegador generará una advertencia de certificado. Claro, es un caso marginal, pero no es pequeño.

ACTUALIZACIÓN DE LA SOLUCIÓN:

Resolví este problema con DNSimple . (¡Ni siquiera tuve que transferir mi dominio!)

Creo que easyDNS ofrece una característica similar, pero sorprende descubrir que la mayoría de las otras compañías de alojamiento de dominios no lo hacen.


Hay dos niveles de indirección separados pero interdependientes a considerar aquí. El primero es qué dirección IP resuelve finalmente un nombre DNS. El segundo es lo que hace el servidor en esa dirección IP.

Recuerde que cuando escribe una URL en un navegador, lo primero que sucede es una búsqueda de DNS. Por lo general, eso lo maneja el sistema operativo, no el navegador en sí.

Entonces su navegador le preguntará al SO, "¿cuál es la dirección de example.com ?" El sistema operativo buscará el registro y, si obtiene un CNAME , buscará ese registro hasta que encuentre un registro A El sistema operativo responde al navegador con una respuesta.

Su navegador luego abre una conexión TCP a esa dirección IP:

  • Si hay una URL http: //, se conecta al puerto 80, luego emite una solicitud HTTP.
  • Si un http s : // URL, se conecta al puerto 443, establece una conexión TLS / SSL (lo que significa que se validan los certificados), luego emite una solicitud HTTP sobre el canal seguro.

Solo en este punto puede ocurrir la redirección HTTP. El navegador envía una solicitud ( GET / , y el servidor puede responder con un 301 a cualquier otra URL.

Comprenda que los servicios de "redireccionamiento de subdominios" que ofrecen los registradores no son más que un servidor HTTP normal que emite 301. Cuando optas por la opción de redireccionamiento de un registrador, solo configuran el registro A de la cima de tu dominio en un servidor que controlan, y ese servidor les dice a los navegadores que vayan a www.example.com .

Dado que la mayoría de los registradores no le permiten subir un certificado SSL a su servidor de redirección, los navegadores no pueden establecer la conexión segura necesaria con el servidor y, por lo tanto, nunca emiten una solicitud HTTP. Por lo tanto, las solicitudes de https: //example.com fallan.

Entonces, ¿por qué no puedes simplemente CNAME el vértice? Esta prohibido

El sistema de dominio proporciona dicha función usando el nombre canónico ( CNAME ) RR [Record Resource]. Un CNAME RR identifica su nombre de propietario como un alias y especifica el nombre canónico correspondiente en la sección RDATA del RR. Si un CNAME RR está presente en un nodo, no debe haber otros datos ; esto asegura que los datos para un nombre canónico y sus alias no pueden ser diferentes. Esta regla también asegura que un CNAME almacenado en caché se puede usar sin consultar con un servidor acreditado para otros tipos de RR.

La especificación requiere que un registro CNAME sea ​​el único registro para un (sub) dominio determinado. Esto está en desacuerdo con el requisito de tener un registro SOA en el ápice. (Hay algunos esfuerzos para cambiar las especificaciones para permitir que coexistan CNAME y SOA , pero todavía hay muchas implementaciones SMTP rotas que el CNAME confundirá en un dominio).

Tiene las siguientes opciones para que SSL funcione en el vértice:

  • Use un servicio de terceros que admita SSL en el servidor de redirección. Es probable que pagues por esto. Aquí hay un servicio. No recomendaría esta ruta, ya que quita el control de la fiabilidad de sus manos y le exige que entregue las claves de su certificado SSL a alguien que puede o no ser confiable.
  • Ejecute su propio servidor de redirección. Dado que el vértice requiere un registro A , necesitará una dirección IP estática, que servicios como Heroku y ELB de AWS no brindan. Entonces, si se encuentra en un entorno de nube, será muy difícil (si no imposible) garantizar la confiabilidad. En el lado positivo, conserva el control de sus claves SSL.
  • Use un host DNS que le permita establecer un alias . Apunta el alias a tu dominio de Heroku / ELB / lo que sea. Esta es probablemente la mejor opción.

Un alias no es técnicamente un tipo de registro DNS. En cambio, es una configuración especial en el lado del host DNS que devuelve un registro A del resultado de otra búsqueda. En otras palabras:

  1. Su sistema operativo emite una solicitud de DNS para example.com a su servidor DNS.
  2. Su host DNS lee la configuración de alias interno y emite una solicitud de DNS para ese dominio. Entonces, si tiene un alias configurado para example.herokuapp.com , buscaría el registro A de ese dominio.
  3. El host DNS devuelve un simple registro A con la (s) IP (s) obtenida de la búsqueda de alias.

Con un registro de alias, puede apuntar su vértice al mismo equilibrador de carga en la nube que su dominio www es CNAME d. Suponiendo que haya configurado SSL en el dominio www , el dominio desnudo funcionará perfectamente. En este punto, es su elección si su aplicación emite un redireccionamiento, o simplemente sirve su contenido directamente sobre el dominio desnudo.


Necesita un certificado que garantice tanto www.example.com como example.com.