Recentemente ho iniziato a utilizzare il plug-in Validation SSL di Calomel per Firefox a testare la sicurezza SSL sui siti che visito. Durante la navigazione nella pagina di accesso di American Express, ho notato che Calomel segnala che la crittografia è "rotta e non protetta".
Ho quindi eseguito un analizzatore HTTP sulle richieste dalla pagina di accesso di Amex HTTPS e ho trovato quanto segue:
POST http://ocsp.verisign.com/
GET http://ad.doubleclick.net/crossdomain.xml
POST http://evintl-ocsp.verisign.com/
POST http://evsecure-ocsp.verisign.com/
Queste 4 richieste sono, da quello che posso dire, la causa degli avvertimenti SSL che sto vedendo. Le richieste di Verisign sembrano controllare lo stato del certificato emesso e la richiesta interdominio per DoubleClick sta ottenendo le informazioni sui criteri interdominio.
Queste richieste mettono a rischio la connessione SSL essendo su HTTP? Ho notato che nessuno sta inviando alcun cookie AmEx.
Sta verificando lo stato del certificato tramite una sicurezza POST HTTP OCSP non sicura da eseguire durante una connessione SSL?