¿Cómo le dice a un sitio web que tienen certificados de seguridad vencidos?

31

A menudo voy a páginas más oscuras en los sitios web de la NASA, y me he acostumbrado a encontrar un certificado de seguridad caducado de vez en cuando. Durante la última semana, comenzó a surgir mucho más, hasta el punto que decidí que tal vez debería decirles (en lugar de simplemente molestarme). Pero después de mirar un poco a mi alrededor, me di cuenta de que no tenía idea de cómo dirigir ese mensaje dentro de esa organización gigante a alguien que realmente podría hacer algo al respecto.

¿Hay alguna forma de que alguien envíe ese mensaje a las personas adecuadas?

Tres ejemplos recientes:

(Alguien más que verificó la 2ª y 3ª dirección dijo que ya no recibió la advertencia, sin embargo, todavía lo hago. El sitio de SSERVI todavía se muestra así para todos).

Actualización: el comentario para ponerse en contacto con la dirección general es un buen punto en el sentido de que, si no hace nada más, debe hacerlo. Sin embargo, se puede ahorrar mucho tiempo dirigiendo un mensaje a las personas adecuadas, y parece que podría haber una manera de hacerlo, si uno supiera un poco más. Por eso publiqué en absoluto, pensé que alguien podría buscar más tarde, encontrar esto y llevar estas notificaciones al lugar correcto más rápido.

    
pregunta kim holder 15.03.2017 - 16:36
fuente

5 respuestas

47

En este caso, la respuesta está (más o menos) en los certificados (que no es que infrecuente):

openssl s_client -connect sservi.nasa.gov:443 | openssl x509 -text

<...snip...>
        Authority Information Access: 
            CA Issuers - URI:http://pki.treas.gov/noca_ee_aia.p7c
            CA Issuers - URI:ldap://lc.nasa.gov/ou=NASA%20Operational%20CA,ou=Certification%20Authorities,ou=NASA,o=U.S.%20Government,c=US?cACertificate;binary
            OCSP - URI:http://ocsp.treas.gov

El primer enlace (menos el archivo P7C) proporciona una página de inicio, con un 'contacto': enlace

Otra herramienta (a veces) en la que vale la pena registrarse es whois, pero la información de autoridad de x509 parece ser el lugar más apropiado para verificar.

    
respondido por el iwaseatenbyagrue 15.03.2017 - 17:37
fuente
16

Encontrar a las "personas adecuadas" puede ser complicado en el mejor de los casos. ¿Es el desarrollador web? Los administradores del servidor? Los administradores de red? Si las páginas son oscuras, pueden ser manejadas por departamentos oscuros con su propia estructura.

No hay una respuesta clara para esto, y solo necesitas hacer el mayor esfuerzo. Las páginas de la NASA tienden a enumerar al propietario de la página en la parte inferior. Es posible que puedas usar eso para encontrar un contacto directo.

De lo contrario, puede funcionar un correo electrónico de contacto general o un formulario de comentarios generales. He enviado informes como el que desea enviar a una bandeja de entrada general para una organización grande y encontró el camino hacia las personas adecuadas.

Si no hay un método de comunicación explícito, use el canal que está abierto.

    
respondido por el schroeder 15.03.2017 - 17:15
fuente
11

Los sitios web de la NASA deben tener un Oficial responsable de la NASA (RNO) listado en la página de inicio del sitio. Esa persona probablemente no será el webmaster del sitio, pero debe saber a quién contactar para tener problemas con un sitio tratado. En el caso de sservi.nasa.gov, el nombre de esa persona aparece en la parte inferior de la página y es Yvonne Pendleton. No incluiré su dirección de correo electrónico aquí, donde podría ser recogida por el spam spiders , pero puede visitar la Directorio Empresarial de la NASA (NED) y busque su nombre para encontrar su información de contacto. El segundo sitio web que incluyó también tiene el nombre del RNO que aparece en la parte inferior de la página de inicio y su información de contacto está disponible a través del NED. El tercero no incluye el RNO, pero el RNO es Ruth K. Globus en el Ames Research Center (ARC) y su información de contacto también está en NED.

Pero como lo señaló Tristan en un comentario a la pregunta, el problema es que los sitios usan un certificado emitido por el Tesoro de los Estados Unidos al igual que muchos sitios de la NASA. Dado que son gratuitos para los sitios web de la NASA, mientras que obtener un certificado de una fuente comercial puede tener un costo, si el público general no tiene acceso al sitio, entonces puede tener un certificado emitido por el Tesoro de los Estados Unidos. Por supuesto, si el RNO recibe notificaciones de personas ajenas a la NASA de que sus navegadores están informando problemas de certificados, tal vez eso podría llevar al RNO a que el webmaster obtenga otro certificado. También es posible que él o ella ni siquiera se dé cuenta de que es un problema, ya que el personal de la NASA que accede a los sitios desde los sistemas en el trabajo proporcionados por la agencia no verá tales advertencias, ya que esos sistemas confiarán en el Tesoro de los EE. UU. href="https://en.wikipedia.org/wiki/Certificate_authority"> Certificate Authority (CA) .

    
respondido por el moonpoint 16.03.2017 - 02:44
fuente
5

También puedes intentar enviar un correo electrónico a webmaster@site.tld postmaster@site.tld y si es algo mal abuse@site.tld

No siempre funcionan, pero algunos servicios requieren la configuración de los dos últimos. (Por ejemplo, Google). Google también lee el correo de abuso a los dominios para los que alojan correos electrónicos.

    
respondido por el Thomas 15.03.2017 - 20:18
fuente
4

Idealmente, debería ser tan simple como enviarles un correo electrónico o un mensaje en el sitio si es posible. Normalmente, una búsqueda del dominio a través de WHOIS debería ser esclarecedora, aunque eso no siempre funciona. Una de estas herramientas para una búsqueda WHOIS (y otra información) es network-tools.com (ejemplo de enlace a los resultados para sservi.nasa.gov) ; Esto muestra la información registrada de whois.arin.net para información de contacto. En caso de duda, la mayoría de las organizaciones deben tener una cuenta global, o al menos las cuentas de reenvío de los usuarios que ya no tienen un empleo activo, por lo que alguien responsable debería recibir dicho correo electrónico. Con una organización más grande como la NASA, encontrar a alguien de otro departamento o equipo, pero dentro de la misma área de preocupación (por ejemplo, TI, web, operaciones de servidor) debería ser útil para enviar dicha información.

Más allá de eso, es mejor enviarles un enlace de referencia de una fuente de terceros acreditada, que muestre el problema. Recomendaría enlazar a los resultados escaneados del sitio en cuestión desde la herramienta de prueba del Servidor de Laboratorios SSL de Qualys.

Por ejemplo, aquí están the resultados para sservi.nasa.gov . Se asigna una calificación general (A, B, C ... etc.) con posibles excepciones, como este caso; una "T" para problemas de certificados de confianza, que se considera una calificación "fallida". Esta herramienta en particular itera todos sus requisitos para la clasificación y destacará cualquier necesidad grave / crítica.

Siestábuscandounacomparación,aquíhayun puntaje comparativamente fuerte para google.com .

Esta herramienta en particular es relativamente conocida en los círculos de administración y web y debería ser una buena referencia para las personas que administran un sitio.

    
respondido por el Eric McCormick 16.03.2017 - 01:59
fuente

Lea otras preguntas en las etiquetas