1. дома
  2. Вопрос и ответ
  3. Примеры сайтов со сломанными сертификатами безопасности

Примеры сайтов со сломанными сертификатами безопасности

2009-11-10 2 views
37

Мне интересно, знает ли кто-нибудь о демонстрационном сайте, где показаны разные случаи, когда HTTPS неправильно настроен или сломан. Или кто-нибудь знает веб-сайт в дикой природе, который преднамеренно отображает различные нарушенные/неправильно сконфигурированные случаи HTTPS? ... Если нет, как насчет идей о том, как их отслеживать с помощью поисковой системы? Я ищу сайты, которые демонстрируют сломанный Https поведение, например:Примеры сайтов со сломанными сертификатами безопасности

  • Самоподписанного сертификат
  • Certificatewith недопустимого субдомен
  • Срока действия сертификата истекло
  • Страницы с безопасным и ООН-защищенным контентом
  • и т. д.

Я ищу, чтобы найти исчерпывающий список различных способов, с помощью которых HTTPS может быть неправильно сконфигурирован и в идеале возможно, живые примеры, которые я могу использовать, чтобы отточить инструмент для сканирования страницы и сказать, будет ли она создавать любые ошибки безопасности браузера. (Насколько я знаю, нет такого инструмента, не хватает человеческого эксплуатации браузера, кто-нибудь знает один?)

источник

2009-11-10 Purrell

+25

Интересный вопрос. Я не согласен с голосованием, чтобы закрыть, такой ресурс был бы полезен. –

+0

Следует отметить, что нарушение поведения HTTPS может быть специфичным для веб-сервера - apache не может вести себя точно так же, как IIS может вести себя не так, как lighttpd и т. Д. –

+0

@Paul: или, скорее, браузер. – Thilo

ответ

6

Перепосещение это. Вот отличный онлайн-инструмент, недавно построенный: https://www.ssllabs.com/ssldb/analyze.html

например. Paypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com

При подготовке к конкретному серверу есть более подробная информация.

Когда этот вопрос был задан, я помню, что я искал ресурсы, которые я мог бы использовать для создания инструмента, который автоматически проверял бы, правильно ли настроен ssl для данного сайта; по крайней мере, что данный сайт не собирался отображать различные ошибки ssl в разных браузерах.Однако существует много типов «неправильной конфигурации» ssl/tls, и многие браузеры обрабатывают случаи по-разному. Ожидая 100%, если браузер покажет любую передачу сообщений вообще или любой обмен сообщениями о шифровании, это довольно сложно, как выясняется.

Но это хороший ручной инструмент. Что было бы замечательно, это инструмент командной строки с открытым исходным кодом, который имеет этот уровень сводки, для включения тестов развертывания или мониторинга.

источник

2012-02-16 17:15:56 Purrell

+0

Для инструмента командной строки, аналогичного SSL Labs, проверьте https://testssl.sh/ – StefanOS

-1
  • https://mail.yahoo.com, очевидно, является примером сертификата с недопустимым подобласти. (Сертификат www.yahoo.com)
  • https://verisign.com еще один (Сертификат www.verisign.com)

- Очевидно, что любая «в дикой природе» образцы могут быть изменены.

источник

2009-11-10 02:48:58 Purrell

+2

verisign auto forward, поэтому он не имеет значения. – NotMe

+0

verisign: Я сразу перенаправляюсь на сайт www.verisign.com. – Thilo

+0

Yahoo уже исправлена. – phihag

-2

Они могут меняться, но в настоящее время они отражают различные проблемы сертификата:

промежуточный сертификат не установлен: http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at

Точное имя хоста не в сертификате: http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com

Срок действия сертификата истек: http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com

Самозаверяющий сертификат: http://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br

Сертификат с подписью MD5: http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in

источник

2009-11-10 15:29:34 Robert

+5

Все связанные сайты выглядят исправленными, поэтому они больше не делают хороших примеров. –

Смежные вопросы

 Смежные вопросы