示例网站与安全证书破碎
我想知道是否有人知道一个演示网站,显示HTTPSconfiguration不当或破碎的不同情况。 还是有人知道在野外的一个网站故意显示各种破损/错误configuration的HTTPS情况? …如果没有,那么如何使用search引擎来追踪这些想法呢? 我正在寻找展现破碎https行为的网站,例如:
- 自签名证书
- 凭证无效的子域名
- 过期的证书
- 带有安全和不安全内容的页面
- 等等…
我正在寻找HTTPS可能被错误configuration的各种方法的完整清单,理想情况下,我可以使用一些实际的例子来磨练一个抓取页面的工具,并告诉你它是否会产生任何浏览器安全错误。 (据我所知,没有这样的工具,没有人操作浏览器,任何人都知道吗?)
重温这个。 这是一个很棒的在线工具,最近build立的: https : //www.ssllabs.com/ssldb/analyze.html
Paypal: https ://www.ssllabs.com/ssldb/analyze.html ? d =https : //paypal.com
钻入特定服务器时有更多详细信息。
当我问到这个问题的时候,我记得我正在寻找资源,我可以用它来构build一个能自动检查ssl是否正确configuration给定站点的工具; 至less一个给定的网站不会在各种浏览器中显示各种ssl错误。 然而,ssl / tls有许多types的“错误configuration”,许多浏览器对这些情况的处理方式不同。 如果浏览器要显示任何消息,或者任何给定的消息有关encryption,预计100%是相当具有挑战性的,因为事实certificate。
但是这是一个很好的手动工具。 有一个开源的命令行工具,可以将这个级别的摘要插入到部署testing或监控中,这将是一个好的select。
对于那些有兴趣了解更多关于ssl的内容,这个页面非常值得一读http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html
- https://mail.yahoo.com显然是一个无效的子域的证书的例子。; (www.yahoo.com证书)
- https://verisign.com是另一个(www.verisign.com证书);
– 显然,任何“野外”标本都可能发生变化。
这些可能会改变,但他们目前反映各种证书问题:
没有安装中级证书: http : //www.sslshopper.com/ssl-checker.html?hostname=secure.donauversicherung.at
确切的主机名不在证书: http ://www.sslshopper.com/ssl-checker.html?hostname =1stsource.com
过期证书: http ://www.sslshopper.com/ssl-checker.html?hostname= secure.garthbrooks.com
自签名证书: http : //www.sslshopper.com/ssl-checker.html?hostname=www.mjvmobile.com.br
带有MD5签名的证书: http ://www.sslshopper.com/ssl-checker.html?hostname= http://www.mtsindia.in