1. Dom
  2. Pytanie i odpowiedź
  3. Przykładowe witryny z uszkodzonymi certyfikatami bezpieczeństwa

Przykładowe witryny z uszkodzonymi certyfikatami bezpieczeństwa

2009-11-10 12 views
37

Zastanawiam się, czy ktoś wie o witrynie demonstracyjnej, która pokazuje różne przypadki, w których HTTPS jest źle skonfigurowany lub uszkodzony. A może ktoś wie o dzikiej stronie internetowej, która celowo wyświetla różne uszkodzone/źle skonfigurowane przypadki HTTPS? ... Jeśli nie, to co powiesz na pomysły, jak je wyśledzić za pomocą wyszukiwarki? Szukam miejsc, które wykazują połamane https zachowań, na przykład:Przykładowe witryny z uszkodzonymi certyfikatami bezpieczeństwa

  • autopodpisywany certyfikat
  • Certificatewith nieważny subdomeny
  • Certyfikat wygasł
  • stronie z bezpiecznego i un-bezpieczny zawartości
  • etc ...

Szukam znaleźć pełną listę różnych sposobów, w których HTTPS może być źle skonfigurowany, a najlepiej być może żywych przykładów, które mogę wykorzystać do ulepszenia narzędzia do przeszukiwania strony i poinformowania Cię, czy może wygenerować jakiekolwiek błędy bezpieczeństwa przeglądarki. (O ile wiem, nie ma takiego narzędzia, krótki ludzkiej eksploatacji przeglądarki, ktoś wie jednego?)

Źródło

2009-11-10 Purrell

+25

Interesujące pytanie. Nie zgadzam się z głosowaniem na zakończenie, taki zasób byłby przydatny. –

+0

Jedna rzecz, jaką należy zauważyć, to że złamane zachowanie HTTPS może być specyficzne dla serwera - apache może nie zachowywać się tak samo, jak IIS może nie zachowywać się tak samo jak lighttpd, itp. –

+0

@Paul: lub raczej specyfika dla przeglądarki. – Thilo

Odpowiedz

6

Revisiting to. Oto wspaniałe narzędzie online, które zostało niedawno zbudowane: https://www.ssllabs.com/ssldb/analyze.html

np. Paypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com

Istnieje więcej szczegółów podczas wiercenia w określonym serwerze.

Po zadaniu tego pytania, pamiętam, że szukałem zasobów, z których mógłbym skorzystać, aby zbudować narzędzie, które automatycznie sprawdzi, czy ssl zostało skonfigurowane "poprawnie" dla danej witryny; co najmniej, że dana strona nie będzie wyświetlać różnych błędów ssl w różnych przeglądarkach.Istnieje jednak wiele rodzajów "błędnej konfiguracji" ssl/tls, a wiele przeglądarek obsługuje je inaczej. Przewidywanie 100%, jeśli przeglądarka ma wyświetlać jakiekolwiek wiadomości lub jakiekolwiek komunikaty o szyfrowaniu, jest dość trudne, jak się okazuje.

Ale to jest dobre narzędzie ręczne. Co by było świetnie, to narzędzie wiersza poleceń o otwartym kodzie źródłowym, które ma ten poziom podsumowania, do podłączania do wdrażania testów lub monitorowania.

Źródło

2012-02-16 17:15:56 Purrell

+0

Dla narzędzia wiersza poleceń podobnego do SSL Labs, sprawdź https://testssl.sh/ – StefanOS

-1

- Oczywiście każdy "na dziko" okazy mogą ulec zmianie.

Źródło

2009-11-10 02:48:58 Purrell

+2

verisign auto forwarduje, więc nie ma to znaczenia. – NotMe

+0

verisign: Natychmiast dostaję przekierowanie na stronę www.verisign.com. – Thilo

+0

yahoo został już naprawiony. – phihag

-2

te mogą ulec zmianie, ale odzwierciedlają one obecnie różne problemy certyfikatu:

certyfikatu pośredniego nie zainstalowane: http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at

Exact nie nazwę hosta w certyfikacie: http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com

Certyfikat wygasł: http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com

Certyfikat z podpisem własnym: http://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br

certyfikatu z podpisem MD5: http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in

Źródło

2009-11-10 15:29:34 Robert

+5

Wszystkie połączone witryny wydają się być poprawione, więc nie są już dobrym przykładem. –

Powiązane problemy

 Powiązane problemy