Come si comunica a un sito Web che sono scaduti i certificati di sicurezza?

31

Spesso vado su pagine più oscure sui siti web della NASA e mi sono abituato a imbattersi in un certificato di sicurezza scaduto di tanto in tanto. Durante la scorsa settimana, ha iniziato a venire molto di più, al punto che ho deciso che forse avrei dovuto dirglielo (piuttosto che sentirsi semplicemente infastidito). Ma dopo aver guardato in giro, mi sono reso conto che non avevo idea di come dirigere quel messaggio all'interno di quella gigantesca organizzazione a qualcuno che potesse effettivamente fare qualcosa al riguardo.

C'è un modo per qualcuno di trasmettere il messaggio alle persone giuste?

Tre esempi recenti:

(Qualcun altro che ha controllato il 2 ° e 3 ° indirizzo ha detto che non ricevono più l'avviso, tuttavia lo faccio ancora. Il sito SSERVI lo mostra ancora per tutti.)

Aggiornamento: il commento per contattare l'indirizzo generale è un buon punto in quanto se non fai altro, dovresti farlo. Tuttavia, un sacco di tempo potrebbe essere salvato indirizzando un messaggio alle persone giuste, e sembrava che ci potesse essere un modo per farlo, se si sapesse un po 'di più. Ecco perché ho postato tutto, ho pensato che qualcuno potrebbe cercare in seguito, trovare questo e ottenere queste notifiche nel posto giusto più veloce.

    
posta kim holder 15.03.2017 - 16:36
fonte

5 risposte

47

In questo caso, la risposta è (sorta di) nei certs (che non è che non comune):

openssl s_client -connect sservi.nasa.gov:443 | openssl x509 -text

<...snip...>
        Authority Information Access: 
            CA Issuers - URI:http://pki.treas.gov/noca_ee_aia.p7c
            CA Issuers - URI:ldap://lc.nasa.gov/ou=NASA%20Operational%20CA,ou=Certification%20Authorities,ou=NASA,o=U.S.%20Government,c=US?cACertificate;binary
            OCSP - URI:http://ocsp.treas.gov

Il primo link (meno il file P7C) fornisce una pagina di destinazione, con un "contattaci": link

Un altro strumento (a volte) che vale la pena di verificare è whois - ma le informazioni dell'autorità x509 sembrano il posto più appropriato da controllare.

    
risposta data 15.03.2017 - 17:37
fonte
16

Trovare le "persone giuste" può essere complicato nel migliore dei casi. È lo sviluppatore web? Gli amministratori del server? Gli amministratori di rete? Se le pagine sono oscure, potrebbero essere gestite da dipartimenti oscuri con la propria struttura.

Non c'è una risposta chiara a questo, e hai solo bisogno di usare i migliori sforzi. Le pagine della NASA tendono ad elencare il proprietario della pagina in basso. Potresti essere in grado di usarlo per trovare un contatto diretto.

In caso contrario, è possibile utilizzare un'e-mail di contatto generale o un modulo di commento generale. Ho inviato rapporti come quello che vuoi inviare a una casella di posta generale per una grande organizzazione e ha trovato la sua strada per le persone giuste.

Se non esiste un metodo di comunicazione esplicito, utilizza il canale aperto.

    
risposta data 15.03.2017 - 17:15
fonte
11

I siti Web della NASA dovrebbero avere un Responsabile NASA Official (RNO) elencato nella home page del sito. Quella persona probabilmente non sarà il webmaster del sito, ma dovrebbe sapere a chi rivolgersi per risolvere eventuali problemi con un sito. Nel caso di sservi.nasa.gov, il nome di quella persona è elencato in fondo alla pagina ed è Yvonne Pendleton. Non elencherò il suo indirizzo email qui dove potrebbe essere rilevato dagli spam spider , ma puoi visitare NASA Enterprise Directory (NED) e cerca il suo nome per trovare le sue informazioni di contatto. Il secondo sito web che hai elencato ha anche il nome del RNO elencato nella parte inferiore della homepage e le sue informazioni di contatto sono disponibili tramite il NED. Il terzo non elenca il RNO, ma RNO è Ruth K. Globus al Centro Ricerche Ames (ARC) e le sue informazioni di contatto sono anche in NED.

Ma come è stato sottolineato da Tristan in un commento alla domanda, il problema è che i siti utilizzano un certificato emesso dal Tesoro degli Stati Uniti come fanno molti siti della NASA. Dal momento che quelli sono gratuiti per i siti web della NASA mentre ottenere un certificato da una fonte commerciale può comportare un costo, se il sito non è ampiamente accessibile dal pubblico in generale, allora potrebbe avere un certificato emesso dal Tesoro degli Stati Uniti. Naturalmente, se l'RNO riceve notifiche da persone al di fuori della NASA che i loro browser stanno segnalando problemi con i certificati, forse ciò potrebbe indurre il RNO a chiedere al webmaster di ottenere un altro certificato. È anche possibile che lui o lei non sappiano nemmeno che si tratta di un problema, dal momento che il personale della NASA che accede ai siti dai loro sistemi forniti dall'agenzia al lavoro non vedrà tali avvertimenti, dal momento che tali sistemi si fideranno del Tesoro americano come autorità di certificazione (CA) .

    
risposta data 16.03.2017 - 02:44
fonte
5

Puoi anche provare a inviare un'email a [email protected] [email protected] e se è qualcosa di brutto [email protected]

Non funzionano sempre, ma alcuni servizi richiedono la configurazione degli ultimi due. (Ad esempio Google). Google legge anche l'abuso di posta elettronica nei domini per i quali ospita l'email.

    
risposta data 15.03.2017 - 20:18
fonte
4

Idealmente dovrebbe essere semplice come mandare loro un'email o un messaggio sul posto, se possibile. Normalmente, una ricerca del dominio tramite WHOIS dovrebbe essere illuminante, anche se questo non sempre funziona. Uno di questi strumenti per una ricerca WHOIS (e altre informazioni) è network-tools.com (esempio link ai risultati per un sservi.nasa.gov) ; questo mostra le informazioni registrate su whois.arin.net per informazioni di contatto. In caso di dubbio, la maggior parte delle organizzazioni dovrebbe avere un account catch-all o almeno inoltrare account dagli utenti non più attivamente impiegati, quindi il responsabile qualcuno dovrebbe ricevere tale email. Con un'organizzazione più grande come la NASA, trovare qualcuno da un altro dipartimento o gruppo, pur nella stessa area di interesse (ad es. IT, web, server op) dovrebbe essere utile per inoltrare tali informazioni.

Oltre a questo, è meglio inviare loro un link di riferimento da una fonte attendibile di terze parti, mostrando il problema. Raccomanderei il collegamento ai risultati scansionati del sito in questione dallo strumento di test del server Qualys SSL Labs.

Ad esempio, qui il risultati per sservi.nasa.gov . Viene assegnato un voto complessivo (A, B, C ... ecc.) Con possibili eccezioni come questo caso; una "T" per i problemi dei certificati attendibili, che è considerato un "fallimento". Questo particolare strumento itera tutti i suoi requisiti per la classificazione e evidenzierà eventuali esigenze gravi / critiche.

Sestaicercandounconfronto,eccoun punteggio comparativamente elevato per google.com .

Questo particolare strumento è relativamente ben noto nei circoli web e amministrativi e dovrebbe essere un buon riferimento per le persone che gestiscono un sito.

    
risposta data 16.03.2017 - 01:59
fonte

Leggi altre domande sui tag