Salve a tutti,
ho un sito che si chiama ad esempio dominio.it a cui aggiungo un dominio di terzo livello ogni qualvolta registro un'azienda che vuole usare i suoi servizi. Quindi dispongo di:

azienda1.dominio.it
azienda2.dominio.it
ecc...

Quel che vorrei fare adesso è rendere il login sicuro, un po' come avviene qui su aspitalia, e quindi fare autenticare gli utenti su https.
Siccome mi posso permettere di comprare un certificato per 1 solo dominio, ho pensato di creare login.dominio.it e installare lì il certificato SSL.

Tuttavia, il mio sito ha form di login su ciascun sottodominio e non voglio mettermi a modificare tutte le pagine per ridirezionare l'utente a login.dominio.it prima che possa digitare username e password.

Quel che vorrei fare è solo modificare l'action di tali form affinché sia https://login.dominio.it/. Cioè come nell'esempio seguente:

<form method="POST" ACTION="https://login.dominio.it/login.aspx">
Username: <input type="text" name="username" value="">
Password: <input type="text" name="password" value="">
<input type="submit" value="Invia">
</form>

Ed ecco la domanda:
Mettere il form qui sopra in un sottodominio non protetto (es. http://azienda1.dominio.it/) mi garantisce lo stesso che user e password viaggeranno su connessione protetta https?

Oppure il form stesso deve trovarsi anche lui su https?
Grazie, saluti.


Edit: questo sito di banking online usa la stessa tecnica.
http://www.chase.com/
Questo vuol dire che posso stare tranquillo? (sto cercando il maggior numero di conferme per non prendermi poi degli insulti dai guru del settore :P

---

Modificato da BrightSoul il 16 novembre 2007 10.34 -