¿Cómo le dice a un sitio web que tienen certificados de seguridad vencidos?

En este caso, la respuesta está (más o menos) en los certificados (que no es que infrecuente):

openssl s_client -connect sservi.nasa.gov:443 | openssl x509 -text

<...snip...>
        Authority Information Access: 
            CA Issuers - URI:http://pki.treas.gov/noca_ee_aia.p7c
            CA Issuers - URI:ldap://lc.nasa.gov/ou=NASA%20Operational%20CA,ou=Certification%20Authorities,ou=NASA,o=U.S.%20Government,c=US?cACertificate;binary
            OCSP - URI:http://ocsp.treas.gov

El primer enlace (menos el archivo P7C) proporciona una página de inicio, con un 'contacto': enlace

Otra herramienta (a veces) en la que vale la pena registrarse es whois, pero la información de autoridad de x509 parece ser el lugar más apropiado para verificar.

Encontrar a las "personas adecuadas" puede ser complicado en el mejor de los casos. ¿Es el desarrollador web? Los administradores del servidor? Los administradores de red? Si las páginas son oscuras, pueden ser manejadas por departamentos oscuros con su propia estructura.

No hay una respuesta clara para esto, y solo necesitas hacer el mayor esfuerzo. Las páginas de la NASA tienden a enumerar al propietario de la página en la parte inferior. Es posible que puedas usar eso para encontrar un contacto directo.

De lo contrario, puede funcionar un correo electrónico de contacto general o un formulario de comentarios generales. He enviado informes como el que desea enviar a una bandeja de entrada general para una organización grande y encontró el camino hacia las personas adecuadas.

Si no hay un método de comunicación explícito, use el canal que está abierto.

Los sitios web de la NASA deben tener un Oficial responsable de la NASA (RNO) listado en la página de inicio del sitio. Esa persona probablemente no será el webmaster del sitio, pero debe saber a quién contactar para tener problemas con un sitio tratado. En el caso de sservi.nasa.gov, el nombre de esa persona aparece en la parte inferior de la página y es Yvonne Pendleton. No incluiré su dirección de correo electrónico aquí, donde podría ser recogida por el spam spiders , pero puede visitar la Directorio Empresarial de la NASA (NED) y busque su nombre para encontrar su información de contacto. El segundo sitio web que incluyó también tiene el nombre del RNO que aparece en la parte inferior de la página de inicio y su información de contacto está disponible a través del NED. El tercero no incluye el RNO, pero el RNO es Ruth K. Globus en el Ames Research Center (ARC) y su información de contacto también está en NED.

Pero como lo señaló Tristan en un comentario a la pregunta, el problema es que los sitios usan un certificado emitido por el Tesoro de los Estados Unidos al igual que muchos sitios de la NASA. Dado que son gratuitos para los sitios web de la NASA, mientras que obtener un certificado de una fuente comercial puede tener un costo, si el público general no tiene acceso al sitio, entonces puede tener un certificado emitido por el Tesoro de los Estados Unidos. Por supuesto, si el RNO recibe notificaciones de personas ajenas a la NASA de que sus navegadores están informando problemas de certificados, tal vez eso podría llevar al RNO a que el webmaster obtenga otro certificado. También es posible que él o ella ni siquiera se dé cuenta de que es un problema, ya que el personal de la NASA que accede a los sitios desde los sistemas en el trabajo proporcionados por la agencia no verá tales advertencias, ya que esos sistemas confiarán en el Tesoro de los EE. UU. href="https://en.wikipedia.org/wiki/Certificate_authority"> Certificate Authority (CA) .

También puedes intentar enviar un correo electrónico a [email protected] [email protected] y si es algo mal [email protected]

No siempre funcionan, pero algunos servicios requieren la configuración de los dos últimos. (Por ejemplo, Google). Google también lee el correo de abuso a los dominios para los que alojan correos electrónicos.

Idealmente, debería ser tan simple como enviarles un correo electrónico o un mensaje en el sitio si es posible. Normalmente, una búsqueda del dominio a través de WHOIS debería ser esclarecedora, aunque eso no siempre funciona. Una de estas herramientas para una búsqueda WHOIS (y otra información) es network-tools.com (ejemplo de enlace a los resultados para sservi.nasa.gov) ; Esto muestra la información registrada de whois.arin.net para información de contacto. En caso de duda, la mayoría de las organizaciones deben tener una cuenta global, o al menos las cuentas de reenvío de los usuarios que ya no tienen un empleo activo, por lo que alguien responsable debería recibir dicho correo electrónico. Con una organización más grande como la NASA, encontrar a alguien de otro departamento o equipo, pero dentro de la misma área de preocupación (por ejemplo, TI, web, operaciones de servidor) debería ser útil para enviar dicha información.

Más allá de eso, es mejor enviarles un enlace de referencia de una fuente de terceros acreditada, que muestre el problema. Recomendaría enlazar a los resultados escaneados del sitio en cuestión desde la herramienta de prueba del Servidor de Laboratorios SSL de Qualys.

Por ejemplo, aquí están the resultados para sservi.nasa.gov . Se asigna una calificación general (A, B, C ... etc.) con posibles excepciones, como este caso; una "T" para problemas de certificados de confianza, que se considera una calificación "fallida". Esta herramienta en particular itera todos sus requisitos para la clasificación y destacará cualquier necesidad grave / crítica.

Siestábuscandounacomparación,aquíhayun puntaje comparativamente fuerte para google.com .

Esta herramienta en particular es relativamente conocida en los círculos de administración y web y debería ser una buena referencia para las personas que administran un sitio.