Примеры сайтов со сломанными сертификатами безопасности

Мне интересно, знает ли кто-нибудь о демонстрационном сайте, который показывает разные случаи, когда HTTPS неправильно настроен или сломан. Или кто-нибудь знает веб-сайт в дикой природе, который преднамеренно отображает различные нарушенные/неправильно сконфигурированные случаи HTTPS?... Если нет, как насчет идей о том, как их отслеживать с помощью поисковой системы? Я ищу сайты, которые демонстрируют нарушенное поведение https, например:

Самозаверяющий сертификат
Сертификат с недопустимым субдоменом
Истекший сертификат
Страница с защищенным и незащищенным контентом
и т.д...

Я ищу, чтобы найти исчерпывающий список различных способов, с помощью которых HTTPS может быть неправильно сконфигурирован, и, в идеале, живые примеры, которые я могу использовать, чтобы отточить инструмент для сканирования страницы и сообщить, будет ли она создавать какую-либо защиту браузера ошибки. (Насколько я знаю, такого инструмента нет, кроме человека, управляющего браузером, кто-нибудь знает об этом?)

Ответы

Ответ 1

Пересмотр этого. Здесь недавно был создан отличный онлайн-инструмент: https://www.ssllabs.com/ssldb/analyze.html

например. Paypal: https://www.ssllabs.com/ssldb/analyze.html?d=https://paypal.com

Более подробная информация о деталях при работе с конкретным сервером.

Когда этот вопрос был задан, я помню, что искал ресурсы, которые мог бы использовать для создания инструмента, который автоматически проверял бы, правильно ли настроен ssl для данного сайта; по крайней мере, что данный сайт не собирался отображать различные ошибки ssl в разных браузерах. Однако существует много типов "неправильной конфигурации" ssl/tls, и многие браузеры обрабатывают случаи по-разному. Ожидая 100%, если браузер собирается отображать какие-либо сообщения вообще или любые сообщения об шифровании довольно сложны, как выясняется.

Но это хороший ручной инструмент. Что было бы замечательно, это инструмент командной строки с открытым исходным кодом, который имеет этот уровень сводки, для включения тестов развертывания или мониторинга.

Ответ 2

Для тех, кто хочет узнать больше о ssl под обложками, эта страница очень хорошо стоит читать http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

Ответ 3

https://mail.yahoo.com, очевидно, является примером сертификата с недопустимым поддоменем. (Сертификат для www.yahoo.com)
https://verisign.com является еще одним (сертификат для www.verisign.com)

- Очевидно, что любые "в диких" экземплярах могут быть изменены.

Ответ 4

Они могут меняться, но в настоящее время они отражают различные проблемы с сертификатами:

Промежуточный сертификат не установлен: http://www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at

Точное имя хоста не в сертификате: http://www.sslshopper.com/ssl-checker.html?hostname=1stsource.com

Истекший сертификат: http://www.sslshopper.com/ssl-checker.html?hostname=secure.garthbrooks.com

Самоподписанный сертификат: http://www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br

Сертификат с подписью MD5: http://www.sslshopper.com/ssl-checker.html?hostname=www.mtsindia.in