子域的SSL对根域安全性的影响

我在example.com的firebase主机上托管了一个webapp。Firebase为根域提供SSL。我现在连接了heroku上的一个ghost博客，位于subdomain blog.example.com。我确实通过我的webapp根域处理信用卡付款。现在我不清楚是否应该从第三方购买SSL证书，并将其与我的subdomainblog.example.com一起提供。我的博客需要它吗？它会影响我的根域安全吗？是否可以从类似“让我们为博客子域加密我”这样的内容中获得免费SSL。

简短的回答是：不，你的博客不安全不会影响你的webapp在根域（实际上称为apex域）上的HTTPS安全性，尽管通常www.example.com在web浏览器中的工作方式与apex域相同

当有人通过域example.com访问您的安全webapp时，webapp将向客户端提供一个仅对example.com有效的证书，并且可能是由大多数客户端保留在其根信任存储中的证书颁发机构签署的部分/所有子域。这可以很好地确定他们正在加载的页面实际上来自拥有example.com域的个人/组织。然后，客户机/服务器进行密钥交换，然后开始加密HTTP会话的实际有效负载。这样可以确保客户机/服务器之间的数据未被修改，并且连接不会被窃听

您可以在blog.example.com或somethingelse.example.com上运行其他服务，这不会影响用户访问example.com的安全性

您可能希望在您的博客上使用HTTPS的合理原因是，如果您的博客包含指向用户的安全站点的链接，并且您希望确保用户始终从这些链接获得适当的指导。因为你的博客是不安全的，任何拥有网络特权的人都可以修改你的博客在加载它的人看来的样子。国家或ISP参与者几乎可以在任何地方修改您的博客外观，但即使是咖啡店恶意用户的简单示例也会影响咖啡店的其他浏览器加载不安全站点的方式，几乎无法察觉。想象一下，如果您的博客包含一个链接，单击此处可转到我的主网站并给我钱，但该链接被修改为转到钓鱼网站，从而允许攻击者窃取用户密码和/或金钱

只有你才能决定这是否意味着你的博客应该有安全性。虽然设置HTTPS可能需要更多的工作，但在默认情况下加密所有内容肯定只能起到帮助作用，过去几年中，许多人已经开始使用这一咒语。当然，让我们加密就足够了