Choisir quel domaine à sécuriser

Nous avons un site Web qui est servi à la fois sur www.example.com et juste example.com - nous n'avons jamais forcé les utilisateurs d'un domaine à l'autre, donc s'ils atterrissent sur example.com C’est là qu’ils restent, et j’imagine que parmi ceux qui ont ajouté un signet à nos pages, il s’agissait d’un partage moitié-moitié (il y avait un problème plus tôt où certains de nos documents ont été omis sur le WWW et des années plus tard, remarquant toujours une scission de trafic).

Nous ajoutons maintenant SSL. Nous n'imposons pas le protocole SSL tant que l'utilisateur n'a pas accédé à la page de connexion ou d'enregistrement. Sur quel domaine devrions-nous exécuter notre SSL?

• www.example.com
• example.com
• secure.example.com
• Autre chose?

J'ai déjà fait beaucoup de sites SSL auparavant, mais ils ont toujours été conçus avec SSL en tête, et nous avons toujours forcé le sous-domaine www.

Y a-t-il des avantages et des inconvénients à le faire? Ma principale préoccupation concerne la reconnaissance des cookies, mais étant donné que nous imposons SSL à la connexion, le cookie de session sera de toute façon écrit sur le domaine SSL. Ma principale préoccupation concerne les personnes susceptibles d'aller sur https://example.com lorsque le site Web est exploité sur https://www.example.com, etc.

_{Une autre question serait, "Devrais-je réécrire ceux qui atterrissent sur le site non-www sur le site WWW?}