web-dev-qa-db-fra.com

Comment pouvez-vous dire à un site Web qu'ils ont expiré des certificats de sécurité?

Je vais souvent sur des pages plus obscures sur les sites Web de la NASA, et je me suis habitué à rencontrer de temps en temps un certificat de sécurité expiré. Au cours de la dernière semaine, cela a commencé à apparaître beaucoup plus, au point que j'ai décidé que je devrais peut-être leur dire (plutôt que de simplement me sentir agacé). Mais après avoir regardé autour de moi, je me suis rendu compte que je ne savais pas comment transmettre ce message au sein de cette organisation géante à quelqu'un qui pourrait réellement faire quelque chose.

Existe-t-il un moyen pour quelqu'un de transmettre ce message aux bonnes personnes?

Trois exemples récents:

(Quelqu'un d'autre qui a vérifié la 2e et la 3e adresse a dit qu'il ne recevait plus d'avertissement, mais je le fais toujours. Le site SSERVI montre toujours cette façon pour tout le monde.)

Mise à jour: Le commentaire pour contacter l'adresse générale fait un bon point en ce que si vous ne faites rien d'autre, vous devriez le faire. Cependant, on pourrait gagner beaucoup de temps en adressant un message aux bonnes personnes, et il semblait qu'il pouvait y avoir un moyen de le faire, si l'on en savait un peu plus. C'est pourquoi j'ai posté du tout, je pensais que quelqu'un pourrait rechercher plus tard, trouver cela et obtenir ces notifications au bon endroit plus rapidement.

30
kim holder

Dans ce cas, la réponse est (en quelque sorte) dans les certificats (ce qui n'est pas que peu commun):

openssl s_client -connect sservi.nasa.gov:443 | openssl x509 -text

<...snip...>
        Authority Information Access: 
            CA Issuers - URI:http://pki.treas.gov/noca_ee_aia.p7c
            CA Issuers - URI:ldap://lc.nasa.gov/ou=NASA%20Operational%20CA,ou=Certification%20Authorities,ou=NASA,o=U.S.%20Government,c=US?cACertificate;binary
            OCSP - URI:http://ocsp.treas.gov

Le premier lien (moins le fichier P7C) fournit une page de destination, avec un 'contactez-nous': http://pki.treas.gov/contact_us.htm

Un autre outil (parfois) qui mérite d'être vérifié est le whois - mais les informations d'autorité x509 semblent l'endroit le plus approprié pour vérifier.

47
iwaseatenbyagrue

Trouver les "bonnes personnes" peut être difficile dans le meilleur des cas. Est-ce le développeur Web? Les administrateurs du serveur? Les administrateurs réseau? Si les pages sont obscures, elles peuvent être gérées par des services obscurs ayant leur propre structure.

Il n'y a pas de réponse claire à cela, et il vous suffit de faire de votre mieux. Les pages de la NASA ont tendance à répertorier le propriétaire de la page en bas. Vous pourrez peut-être l'utiliser pour trouver un contact direct.

Sinon, un e-mail de contact général ou un formulaire de commentaire général peut fonctionner. J'ai envoyé des rapports comme celui que vous souhaitez envoyer à une boîte de réception générale pour une grande organisation et il a trouvé son chemin vers les bonnes personnes.

S'il n'y a pas de méthode de communication explicite, utilisez le canal ouvert.

16
schroeder

Les sites Web de la NASA devraient avoir un responsable de la NASA (RNO) sur la page d'accueil du site. Cette personne ne sera probablement pas le webmaster du site, mais elle devrait savoir à qui s'adresser pour tout problème lié à un site. Dans le cas de sservi.nasa.gov, le nom de cette personne est répertorié au bas de la page et est Yvonne Pendleton. Je ne listerai pas son adresse e-mail ici où elle pourrait être récupérée par du spam araignées , mais vous pouvez visiter le NASA Enterprise Directory (NED) et rechercher son nom pour trouver ses coordonnées. Le deuxième site Web que vous avez répertorié a également le nom du RNO répertorié au bas de la page d'accueil et ses coordonnées sont disponibles via la NED. Le troisième ne répertorie pas le RNO, mais le RNO est Ruth K. Globus au Ames Research Center (ARC) et ses coordonnées sont également dans NED.

Mais comme l'a souligné Tristan dans un commentaire à la question, le problème est que les sites utilisent un certificat délivré par le Trésor américain comme le font de nombreux sites de la NASA. Étant donné que ceux-ci sont gratuits pour les sites Web de la NASA, alors que l'obtention d'un certificat d'une source commerciale peut entraîner un coût, si le site n'est pas largement utilisé par le grand public, il peut avoir un certificat émis par le Trésor américain. Bien sûr, si le RNO reçoit des notifications de personnes extérieures à la NASA indiquant que leurs navigateurs signalent des problèmes de certificat, cela pourrait conduire le RNO à demander au webmaster d'obtenir un autre certificat. Il est également possible qu'il ou elle ne sache même pas qu'il s'agit d'un problème, car le personnel de la NASA accédant aux sites à partir des systèmes fournis par son agence au travail ne verra pas de tels avertissements, car ces systèmes feront confiance au Trésor américain en tant que - autorité de certification (CA) .

10
moonpoint

Vous pouvez également essayer d'envoyer un courriel à [email protected] [email protected] et s'il s'agit de quelque chose de mauvais [email protected]

Ils ne fonctionnent pas toujours mais certains services nécessitent de configurer les deux derniers. (Par exemple, Google). Google lit également les e-mails abusifs vers les domaines pour lesquels ils hébergent des e-mails.

5
Thomas

Idéalement, cela devrait être aussi simple que de leur envoyer un e-mail ou un message sur place si possible. Normalement, une recherche du domaine via WHOIS devrait être éclairante, bien que cela ne fonctionne pas toujours. Un tel outil pour une recherche WHOIS (et d'autres informations) est network-tools.com (exemple de lien vers les résultats pour un sservi.nasa.gov) ; cela montre les informations enregistrées whois.arin.net pour les informations de contact. En cas de doute, la plupart des organisations devraient avoir un compte fourre-tout, ou du moins des comptes à terme des utilisateurs qui ne sont plus activement employés, donc quelqu'un responsable devrait recevoir un tel e-mail. Avec une organisation plus grande comme la NASA, trouver quelqu'un d'un autre département ou d'une équipe, mais dans le même domaine de préoccupation (par exemple, informatique, Web, opérations de serveur) devrait être utile pour transmettre ces informations.

Au-delà de cela, il est préférable de leur envoyer un lien de référence provenant d'une source tierce réputée, indiquant le problème. Je recommanderais de créer un lien vers les résultats scannés du site en question à partir de l'outil de test Qualys SSL Labs Server.

Par exemple, voici les résultats pour sservi.nasa.gov . Une note globale est attribuée (A, B, C ... etc.) avec d'éventuelles exceptions telles que ce cas; un "T" pour les problèmes de certificat de confiance, qui est considéré comme un "échec". Cet outil particulier réitère toutes ses exigences de classement et mettra en évidence tous les besoins sévères/critiques.

qualys ssl labs scan result for sservi.nasa.gov

Si vous recherchez une comparaison, voici un score relativement élevé pour google.com .

Cet outil particulier est relativement bien connu dans les cercles Web et d'administration et devrait être une bonne référence pour les personnes qui gèrent un site.

4
Eric McCormick