Security 安全证书已损坏的示例站点
我想知道是否有人知道一个演示站点,它显示了HTTPS被错误配置或破坏的不同情况。或者有人知道一个野生网站故意显示各种损坏/错误配置的HTTPS案例吗。。。如果没有,如何用搜索引擎追踪他们的想法呢?我正在寻找表现出破坏https行为的网站,例如:Security 安全证书已损坏的示例站点,security,ssl,https,Security,Ssl,Https,我想知道是否有人知道一个演示站点,它显示了HTTPS被错误配置或破坏的不同情况。或者有人知道一个野生网站故意显示各种损坏/错误配置的HTTPS案例吗。。。如果没有,如何用搜索引擎追踪他们的想法呢?我正在寻找表现出破坏https行为的网站,例如: 自签名证书 具有无效子域的证书 过期证书 包含安全和不安全内容的页面 等等 我希望找到一个全面的列表,列出HTTPS可能被错误配置的各种方式,理想情况下,我可以使用这些实例来磨练一个工具来抓取页面,并告诉您它是否会产生任何浏览器安全错误。(据我所知,
- 自签名证书
- 具有无效子域的证书
- 过期证书
- 包含安全和不安全内容的页面
- 等等
- 显然,这是一个具有无效子域的证书示例。(www.yahoo.com证书)
- 是另一个(www.verisign.com的证书)
--显然,任何“野生”标本都可能发生变化。这些可能会发生变化,但它们目前反映了各种证书问题: 未安装中间证书: 证书中没有确切的主机名: 过期证书: 自签名证书: 具有MD5签名的证书:
对于那些有兴趣在封面下了解更多ssl的人来说,这一页非常值得一读再次访问。以下是最近开发的一个很棒的在线工具: e、 g。 贝宝: 当您深入到特定服务器时,会有更多详细信息 当有人问这个问题时,我记得我在寻找可以用来构建一个工具的资源,该工具可以自动检查ssl是否为给定站点“正确”配置;至少给定的站点不会在各种浏览器中显示各种ssl错误。然而,ssl/tls的“错误配置”有多种类型,许多浏览器处理这种情况的方式也不同。事实证明,如果浏览器要显示任何消息或任何给定的关于加密的消息,那么100%的预期是相当具有挑战性的
但这是一个很好的手动工具。最好是一个开放源码的命令行工具,它具有这种级别的摘要,用于插入部署测试或监视。有趣的问题。我不同意投票关闭,这样的资源将是有用的。需要注意的是,被破坏的HTTPS行为很可能是特定于Web服务器的-apache的行为可能与IIS的行为不完全相同,也可能与lighttpd的行为不同,等等。@Paul:或者更确切地说,是特定于浏览器的。有大量程序用于测试网站安全性。也许这个问题应该在serverfault上解决。请参阅及其子域verisign自动转发,这样就不重要了。verisign:我立即被重定向到www.verisign.com。雅虎现在也被修复了。也许是你推动他们来修复的:)-这是所有链接网站的演示,似乎都已修复,因此,它们不再是很好的例子