1. Inicio
  2. Pregunta y respuesta
  3. sitios de ejemplo con los CERT de seguridad rotos

sitios de ejemplo con los CERT de seguridad rotos

2009-11-10 15 views
37

Me pregunto si alguien sabe de un sitio de demostración que muestra diferentes casos en HTTPS está mal configurado o roto. ¿O alguien sabe de un sitio web en la naturaleza que muestra deliberadamente varios casos HTTPS rotos/mal configurados? ... Si no, ¿qué hay de las ideas sobre cómo rastrearlos con un motor de búsqueda? Busco sitios que exhiben comportamientos https rotos, por ejemplo:sitios de ejemplo con los CERT de seguridad rotos

  • Autofirmados certificado
  • Certificatewith subdominio no válida
  • Certificado caducado
  • página con contenido seguro y poco segura
  • etc ...

Estoy buscando para encontrar una lista completa de las diversas formas en que HTTPS se puede configurar mal, e idealmente quizás ejemplos en vivo que puedo utilizar para perfeccionar una herramienta para rastrear una página y decirle si va a producir errores de seguridad del navegador. (Por lo que yo sé no hay tal herramienta, a falta de un humano de operación de un navegador, alguien sabe de uno?)

Fuente

2009-11-10 Purrell

+25

Interesante pregunta. No estoy de acuerdo con la votación para cerrar, tal recurso sería útil. –

+0

Una cosa a tener en cuenta es que los comportamientos HTTPS rotos pueden ser específicos del servidor web - apache puede no comportarse exactamente igual ya que IIS puede no comportarse igual que lighttpd, etc. –

+0

@Paul: o mejor dicho, browserspecific. – Thilo

Respuesta

6

Revisando esto. Aquí está una gran herramienta en línea de reciente construcción: https://www.ssllabs.com/ssldb/analyze.html

por ejemplo, Paypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com

Hay más detalles cuando se explora en un servidor específico.

Cuando se hizo esta pregunta Recuerdo que estaba buscando recursos que podría utilizar para construir una herramienta que comprobar automáticamente si SSL se ha configurado "adecuada" para un sitio determinado; al menos que un sitio determinado no iba a mostrar varios errores de SSL en varios navegadores.Sin embargo, hay muchos tipos de "configuración incorrecta" de ssl/tls y muchos navegadores manejan los casos de manera diferente. Anticipar el 100% si un navegador va a mostrar algún tipo de mensaje o cualquier mensaje sobre cifrado es bastante desafiante.

Pero esta es una buena herramienta manual. Lo que sería genial es una herramienta de línea de comando de código abierto que tenga este nivel de resumen, para conectarse a las pruebas de implementación o monitoreo.

Fuente

2012-02-16 17:15:56 Purrell

+0

Para obtener una herramienta de línea de comandos similar a SSL Labs, consulte https://testssl.sh/ – StefanOS

-1

- Obviamente, cualquier "in the wild" especímenes están sujetos a cambios.

Fuente

2009-11-10 02:48:58 Purrell

+2

verisign auto reenvía, por lo que no importa. – NotMe

+0

verisign: Me redirigen a www.verisign.com inmediatamente. – Thilo

+0

yahoo se ha solucionado ahora también. – phihag

-2

Estos pueden cambiar, pero que actualmente reflejan diversos problemas de certificado:

certificado intermedio no se instala: http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at

no hostname exacta en el certificado: http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com

Certificado caducado: http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com

Certificado autofirmado: http://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br

certificado con una firma MD5: http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in

Fuente

2009-11-10 15:29:34 Robert

+5

Todos los sitios web vinculados parecen estar corregidos, por lo que dejan de ser buenos ejemplos. –

Cuestiones relacionadas

 Cuestiones relacionadas