security - tipo - que certificado ssl elegir
Sitios de ejemplo con certificados de seguridad rotos (4)
Me pregunto si alguien sabe de un sitio de demostración que muestra diferentes casos donde HTTPS está mal configurado o roto. ¿O alguien sabe de un sitio web en la naturaleza que muestra deliberadamente varios casos HTTPS rotos / mal configurados? ... Si no, ¿qué hay de las ideas sobre cómo rastrearlos con un motor de búsqueda? Estoy buscando sitios que muestran comportamientos https rotos, por ejemplo:
- Certificado autofirmado
- Certificado con subdominio inválido
- Certificado caducado
- Página con contenido seguro y no seguro
- etc ...
Estoy buscando una lista completa de las diversas formas en que se puede configurar incorrectamente HTTPS, e idealmente quizás ejemplos en vivo que pueda usar para perfeccionar una herramienta para rastrear una página y decirle si va a producir errores de seguridad en el navegador. (Hasta donde yo sé, no existe una herramienta de ese tipo, salvo una persona que opera un navegador, ¿alguien sabe de una?)
Estos pueden cambiar pero actualmente reflejan varios problemas de certificados:
Certificado intermedio no instalado: http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at
El nombre de host exacto no está en el certificado: http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com
Certificado caducado: http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com
Certificado autofirmado: http://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br
Certificado con una firma MD5: http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in
Para aquellos interesados en saber más sobre SSL bajo las carátulas, vale la pena leer esta página http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html
Revisando esto. Aquí hay una gran herramienta en línea recientemente construida: https://www.ssllabs.com/ssldb/analyze.html
por ejemplo, Paypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com
Hay más detalles cuando exploras en un servidor específico.
Cuando se formuló esta pregunta, recuerdo que estaba buscando recursos que podría utilizar para construir una herramienta que verificará automáticamente si SSL se configuró "correctamente" para un sitio determinado; al menos que un sitio determinado no iba a mostrar varios errores de SSL en varios navegadores. Sin embargo, hay muchos tipos de "configuración incorrecta" de ssl / tls y muchos navegadores manejan los casos de manera diferente. Anticipar el 100% si un navegador va a mostrar algún tipo de mensaje o cualquier mensaje sobre cifrado es bastante desafiante.
Pero esta es una buena herramienta manual. Lo que sería genial es una herramienta de línea de comando de código abierto que tenga este nivel de resumen, para conectarse a las pruebas de implementación o monitoreo.
- https://mail.yahoo.com evidentemente es un ejemplo de un certificado con un subdominio no válido. (Certificado para www.yahoo.com)
- https://verisign.com es otro (Certificado para www.verisign.com)
- Obviamente, cualquier ejemplar "en estado salvaje" está sujeto a cambios.