Почему рекомендуется использовать SSL-сертификат для secure.mydomain.com, а не www.mydomain.com для использования на Heroku? Я прочитал это предложение в нескольких блогах, но авторы не уточнили. Похоже, что использование secure.mydomain.com требует некоторого перенаправления при переключении между запросами SSL и без SSL и может вызвать трудности с сеансами.Поддомен для SSL на Heroku
Ограничение на то, что вы не можете иметь свой SSL на основе имени хоста в корневом домене (mydomain.com); он должен находиться на субдомене (например, www.mydomain.com, secure.mydomain.com). Это связано с тем, как работает DNS-система:
SSL-имя на основе имени хоста не будет работать с корневыми доменами, поскольку оно зависит от CNAME-псевдонимов ваших пользовательских доменных имен. CNAME aliasing корневых доменов является нарушением RFC.
Ваши сеансы, пересекающие домены, действительно могут быть болью. Многие люди написали об этом, хотя: http://www.google.com/search?&q=ssl+on+subdomain+rails
В качестве альтернативы вы можете использовать свое предложение SSL на основе IP-адресов с корневыми доменами, но это 100 долл. США/мес.
Вы проверили документацию heroku.com. у них действительно хороший.
проверить сначала. http://docs.heroku.com/ssl
Да, у меня есть. Кажется, он не отвечает на мой вопрос. – Michael
Я думаю, самое главное здесь использовать субдомен. Думаю, на мой взгляд, для избежания XSS Atacks. Проверьте эту информацию. Возможно, это применимо в случае с ур. http://stackoverflow.com/questions/1317598/what-precautions-should-i-take-to-prevent-xss-on-user-submitted-html – crsuarezf