xmlns.jcp.org ¿el certificado SSL del dominio es extrañamente inválido?

Navega tus respuestas
0

Estaba buscando información sobre los esquemas Java EE y encontré la página enlace . Desde allí, hice clic en la URL enlace que me da una advertencia insegura de la página. La información avanzada en FF muestra esto: 

xmlns.jcp.org uses an invalid security certificate.

The certificate is only valid for the following names:
www-legacy.oracle.com, www.textura-aus.com, blogs.java.net, support.palerra.com, resources.maxymiser.com, www.peoplesoft.com, wmscalculator.com, analytics.micros-retail.com, weblogiccommunity.com, bigmachines.com, www.vocado.net, www.markie-awards.com, blog.apiary.io, zenedge.com, opower.com, today.java.net, www.maxymiser.com, www.logfire.com, www.zenedge.com, www.maxymiser.de, fideliocruise.com, www2.gradebeam.com, datalogix.com, support.ravellosystems.com, www.topliners.com, members.micros.com, community.java.net, logfire.com, www.modern-marketing.com, www.bigmachines.com, shop.sun.com, oraclecloud.com, www.bluekai.com, www.solaris.com, customercare.etadirect.com, weblogs.java.net, palerra.com, lightyear.sun.com, fcruise.com, blog.wercker.com, maxymiser.com, fiveuniversaltruths.com, www2.submittalexchange.com, www2.opower.com, www.wercker.com, www.cloudmonkeymobile.com, solaris.com, developer.cloud.oracle.com, www.crosswise.com, www.peoplesoftcustomer.com, www.fcruise.com, blog.opower.com, expresshelp.bigmachines.com, www.textura-europe.com, update.peoplesoft.com, www.datalogix.com, www.markieawards.com, latista.com, texturacorp.com, home.java.net, topliners.com, markieawards.com, info.palerra.com, sparklinedata.com, vocado.net, kb.bluekai.com, maxymiser.fr, modernsupplychainexperience.com, textura-australasia.com, slack.wercker.com, ticket.opower.com, wercker.com, www.oraclecloud.com, forums.java.sun.com, webapps.micros.com, community.acmepacket.com, www.palerra.com, www.wmscalculator.com, www.micros-supply-chain.com, cn.forums.oracle.com, kr.forums.oracle.com, go.logfire.com, gojava.com, www.latista.com, secure.tekelec.com, forums.java.net, beepotential.com, maxymiser.de, support.bigmachines.com, www.texturacorp.com, support.opower.com, go.java.com, www.eloqua.com, powerup.opower.com, www.vocado.com, www.modernsupplychainexperience.com, oas.micros.com, www.textura-australasia.com, www.fideliocruise.com, vocado.com, modern-marketing.com, textura-europe.com, cloudmonkeymobile.com, crosswise.com, www.weblogiccommunity.com, developer.cloud-stage.oracle.com, www.maxymiser.fr, eloqua.com, www.responsys.com, java.sun.com, java-champions.java.net, devcenter.wercker.com, support.toatech.com, www.opower.com, www.sparklinedata.com, markie-awards.com

Error code: SSL_ERROR_BAD_CERT_DOMAIN

¿Estamos viendo algún tipo de ataque o es solo que Oracle está descuidado con sus sitios, redirecciones y certificados?

    
pregunta wilx 18.12.2018 - 17:09
fuente

2 respuestas

2

Veo el mismo error si me conecto a https://xmlns.jcp.org/ , por lo que si es un ataque, no está dirigido a usted ni a su red local.

Curiosamente, https://jcp.org/ está sirviendo un certificado diferente y no recibo ningún error en ese. Ese solo tiene los siguientes nombres de sujeto-alternativa: 

DNS Name=jcp.org
DNS Name=www.jcp.org
DNS Name=www2.jcp.org

Revisé un número de los dominios en la lista que proporcionaste, y todos redirigen a una URL oracle.com , o incluyen el logotipo de Oracle en algún lugar de la página, así que supongo que usan ese mega certificado para Sitios web de pequeñas empresas aleatorias que Oracle ha adquirido. Supongo que utilizaron este certificado en https://xmlns.jcp.org pero se olvidó de verificar que realmente está cubierto por ese certificado.

Mi conclusión: Oracle está descuidado con sus sitios, redirecciones y certificados.

    
respondido por el Mike Ounsworth 18.12.2018 - 18:23
fuente
1

El certificado está bien, es solo Oracle y el propósito del sitio web. El sitio web está destinado a esquemas XML a los que, históricamente, a menudo se accede mediante HTTP simple. Y este sitio web en particular no está diseñado para el acceso HTTPS y su nombre no está incluido en la extensión SAN del certificado SSL. Es por esto que obtienes un error de coincidencia de nombre.

Incluso el sitio web redirigido no es completamente seguro, porque carga el logotipo de Oracle desde HTTP simple y todos los enlaces apuntan a HTTP simple. Sin embargo, el resto del contenido se puede entregar a través de HTTPS.

    
respondido por el Crypt32 18.12.2018 - 18:24
fuente

Lea otras preguntas en las etiquetas

¿Qué organizaciones pueden recomendar un conjunto de tecnología de referencia para una navegación web segura y segura? Reemplazo del shell de Windows para todos excepto para el administrador del sistema