セキュリティ証明書が壊れているサイトの例

Question

HTTPSが誤って設定されているか破損しているかを示すデモサイトを知っている人はいませんか？あるいは、壊れた/誤って構成されたさまざまなHTTPSの場合を意図的に表示する、野生のウェブサイトを知っている人はいますか？ ...そうでない場合は、検索エンジンでそれらを追跡する方法のアイデアはどうですか？安全かつ非セキュアなコンテンツ

を持つ

• 自己署名証明書
• Certificatewith無効なサブドメイン
• 期限切れの証明書
• ページ：私は、たとえば、壊れたHTTPSの行動を示すのサイトを探していますetc ...

HTTPSが誤って構成されている可能性があり、理想的にはさまざまな方法が網羅されていますたぶん私は、ページをクロールするツールを磨くために使用することができ、それがブラウザのセキュリティエラーを生成するかどうかを伝えるために使用できるライブサンプル。 （私の知る限りは、そのようなツールはありません知っているように、人間の操作するブラウザのショート、誰もが1を知っている？）

Answer 1

を読んで非常に価値があります。最近作成された素晴らしいオンラインツールは次のとおりです。https://www.ssllabs.com/ssldb/analyze.html

Paypal： https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com

特定のサーバーにドリルすると詳細があります。

この質問が尋ねられたとき、私は、sslが特定のサイトに対して「適切に」構成されているかどうかを自動的にチェックするツールを構築するために使用できるリソースを探していました。少なくとも、特定のサイトはさまざまなブラウザで様々なSSLエラーを表示するつもりはなかった。しかし、多くの種類のssl/tls "誤設定"があり、多くのブラウザがそのケースを別々に扱います。ブラウザーがメッセージングをまったく表示しない場合や、暗号化に関する任意のメッセージを表示する場合は、100％を予期することは明らかです。

しかし、これは良いマニュアルツールです。素晴らしいことは、このレベルの要約を持つオープンソースのコマンドラインツールで、展開テストや監視にプラグインすることです。

Answer 2

• https://mail.yahoo.comは明らかに無効なサブドメインを持つ証明書の一例です。明らかに、任意の "野生の" 標本が変更される場合があります - （www.yahoo.comのための証明書）
• https://verisign.comは、別の（www.verisign.comの証明書）

です。証明書で http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at

を正確なホスト名ではない：

Answer 3

これらの変更はなく、彼らは現在、さまざまな証明書の問題を反映することができる：

中間証明書がインストールされていない http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com

は、証明書を期限切れ： http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com

自己署名入り証明書：MD5シグネチャを持つhttp://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br

証明書：カバーの下にSSLの詳細を知って興味を持ったものについては http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in

Answer 4

、このページには、これを再訪http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html