하나의 https 페이지에서 다른 인증서로 다른 페이지로 이동

Question

이름, 주소 등의 일부 사용자 정보를 캡처하는 늪지대 표준 가입 페이지를 상상해보십시오. 결제 사이트로 이전하는 지금 구입 버튼이 있습니다 WorldPay).

자, 요구 사항은 수단 내가 얻을 IIS에 SSL 인증서를 설치해야합니다)

을 (내가 틀렸다면 저를 정정)되도록 모든 안전해야한다는 것입니다. 나는 다음 가입 페이지를 보안 할 필요가

B)가 (이 작업을 수행하는 방법을 정확하게보고 있지만, 사람이 수 있도록하고자하는 경우 나 그 웅대 한 것 알고있다!)

을 따라서, 가입 페이지가 지금 염치 https를 하나의 인증서로 사용하는 경우, WorldPay (SSL 아래 있지만 다른 인증서 아래)로 리디렉션하는 데 문제가 있어야하는 이유가 있습니까?

나는 왜 AJAX 나 다른 어떤 것으로도이 작업을 수행하지 않을 것이라고 상상할 수 없지만 (HTTPS request via AJAX from HTTP page 참조), 때때로 이러한 것들이 당신을 물 수도 있습니다!

감사 던컨

Answer 1

난을 forsee 수있는 유일한 문제는 https://mysite.com/에서 https://payment.net/에 직접 폼 POST이있는 경우 사용자가 대부분 Firefox 3.5는 "신뢰할 수없는 연결"이 표시됩니다 (경고 페이지를 볼 것입니다 유사한 시나리오에서 피싱 공격을 막을 수 있습니다. 이것을 해결할 수있는 한 가지 해결책은 mysite.com 양식을 mysite.com 도메인에 제출 한 다음 컨트롤러 또는 사용자를 결제 네트워크로 리다이렉트하는 등의 작업을하는 것입니다. (그러나 URL에 노출하여 사용자의 개인 정보로 엉성한 행동을하는 것을 조심해야합니다.)

내 생각에이 질문은 지불 사이트에서 처리해야하는 내용입니다 꽤 자주. SSL, 경고 등을 처리하기위한 특정 권장 사항이 있는지 알아보기 위해 해당 서버에 연락하는 것이 좋습니다.

Answer 2

동일한 프로토콜 (https)을 사용하여 한 도메인에서 다른 도메인으로 리디렉션 할 때 문제가 없어야합니다. 그러나 때로는 바이러스 소프트웨어가 이러한 종류의 리디렉션을 "피싱"으로 탐지 할 수 있지만 WorldPay가 신뢰할 수있는 소스라면 괜찮습니다. 사용자 데이터를 WorldPay에 전달하려고하거나 WorldPay를 지불 엔진으로 사용하려고하십니까? 도메인을 전환 할 때 POST/GET 변수를 통해 사용자 정보를 전달하지는 않겠습니다.

가입 페이지의 답변은 사용자가 SSL 암호화로 계정 정보를 입력하고 신뢰할 수있는 자물쇠 아이콘을 볼 수 있도록 https (코드 숨김 코드가 이상적)를 강제해야한다는 것입니다.

편집 : 코드 예

if (HttpContext.Current.Request.Url.AbsoluteUri.ToLower().StartsWith("http://")) 
{ 
    Response.Redirect(HttpContext.Current.Request.Url.AbsoluteUri.Replace("http://", "https://")); 
} 

는 인증서를 얻으려면 : 당신의 IIS에서, 웹 사이트 기록하여 속성으로 이동 보안 탭을 누른 다음 서버 인증서를 클릭합니다. 인증서 요청을 인증서 서명 기관 (GeoTrust, Verisign 등)에 보낼 준비가 될 때까지 단계별 절차를 완료하십시오. 인증서 요청을 받으면 인증서 요청이 완료되고 https가 작동합니다.

또한 SSL 소프트웨어가 최신 업데이트로 최신 버전인지 확인하십시오. 그것은 요구 사항을 다루어야한다. 그러나 WorldPay에 연락하여 표준을 준수하고 있는지 확인하십시오.