セキュリティ証明書が壊れているサイトの例
HTTPSが正しく構成されていない、または壊れているさまざまなケースを示すデモサイトを誰かが知っているかどうか疑問に思います。または、さまざまな壊れた/誤って構成されたHTTPSケースを意図的に表示する実際のWebサイトを知っている人はいますか? ...そうでない場合は、検索エンジンでそれらを追跡する方法についてのアイデアはどうですか? httpsの動作が壊れているサイトを探しています。例:
- 自己署名証明書
- 無効なサブドメインを持つ証明書
- 期限切れの証明書
- 安全なコンテンツと安全でないコンテンツを含むページ
- 等...
HTTPSを誤って構成する可能性のあるさまざまな方法の包括的なリストを探しています。理想的には、ページをクロールするツールを磨き、ブラウザーのセキュリティエラーが発生するかどうかを通知するために使用できる実際の例を探しています。 (私が知る限り、そのようなツールはありません。人間がブラウザを操作する以外に、誰か知っていますか?)
これを再考します。最近構築された優れたオンラインツールは次のとおりです。 https://www.ssllabs.com/ssldb/analyze.html
例えばPaypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://Paypal.com
特定のサーバーにドリルインすると、詳細が表示されます。
この質問があったとき、特定のサイトに対してsslが「適切に」構成されているかどうかを自動的にチェックするツールを構築するために使用できるリソースを探していたのを覚えています。少なくとも、特定のサイトがさまざまなブラウザでさまざまなsslエラーを表示することはありませんでした。ただし、ssl/tlsの「設定ミス」には多くの種類があり、多くのブラウザではケースの処理が異なります。ブラウザがメッセージをまったく表示しないのか、暗号化に関する特定のメッセージを表示するのかを100%予測することは、非常に困難です。
しかし、これは優れた手動ツールです。素晴らしいのは、デプロイテストや監視にプラグインするための、このレベルの要約を備えたオープンソースのコマンドラインツールです。
裏でsslについてもっと知りたい人は、このページを読む価値があります http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html