xmlns.jcp.org cert SSL del dominio stranamente non valido?

Naviga le tue risposte
0

Stavo cercando alcune informazioni sugli schemi EE di Java e ho trovato la pagina link . Da lì ho fatto clic su link URL che mi dà un avviso di pagina non sicuro. Le informazioni avanzate in FF mostrano questo: 

xmlns.jcp.org uses an invalid security certificate.

The certificate is only valid for the following names:
www-legacy.oracle.com, www.textura-aus.com, blogs.java.net, support.palerra.com, resources.maxymiser.com, www.peoplesoft.com, wmscalculator.com, analytics.micros-retail.com, weblogiccommunity.com, bigmachines.com, www.vocado.net, www.markie-awards.com, blog.apiary.io, zenedge.com, opower.com, today.java.net, www.maxymiser.com, www.logfire.com, www.zenedge.com, www.maxymiser.de, fideliocruise.com, www2.gradebeam.com, datalogix.com, support.ravellosystems.com, www.topliners.com, members.micros.com, community.java.net, logfire.com, www.modern-marketing.com, www.bigmachines.com, shop.sun.com, oraclecloud.com, www.bluekai.com, www.solaris.com, customercare.etadirect.com, weblogs.java.net, palerra.com, lightyear.sun.com, fcruise.com, blog.wercker.com, maxymiser.com, fiveuniversaltruths.com, www2.submittalexchange.com, www2.opower.com, www.wercker.com, www.cloudmonkeymobile.com, solaris.com, developer.cloud.oracle.com, www.crosswise.com, www.peoplesoftcustomer.com, www.fcruise.com, blog.opower.com, expresshelp.bigmachines.com, www.textura-europe.com, update.peoplesoft.com, www.datalogix.com, www.markieawards.com, latista.com, texturacorp.com, home.java.net, topliners.com, markieawards.com, info.palerra.com, sparklinedata.com, vocado.net, kb.bluekai.com, maxymiser.fr, modernsupplychainexperience.com, textura-australasia.com, slack.wercker.com, ticket.opower.com, wercker.com, www.oraclecloud.com, forums.java.sun.com, webapps.micros.com, community.acmepacket.com, www.palerra.com, www.wmscalculator.com, www.micros-supply-chain.com, cn.forums.oracle.com, kr.forums.oracle.com, go.logfire.com, gojava.com, www.latista.com, secure.tekelec.com, forums.java.net, beepotential.com, maxymiser.de, support.bigmachines.com, www.texturacorp.com, support.opower.com, go.java.com, www.eloqua.com, powerup.opower.com, www.vocado.com, www.modernsupplychainexperience.com, oas.micros.com, www.textura-australasia.com, www.fideliocruise.com, vocado.com, modern-marketing.com, textura-europe.com, cloudmonkeymobile.com, crosswise.com, www.weblogiccommunity.com, developer.cloud-stage.oracle.com, www.maxymiser.fr, eloqua.com, www.responsys.com, java.sun.com, java-champions.java.net, devcenter.wercker.com, support.toatech.com, www.opower.com, www.sparklinedata.com, markie-awards.com

Error code: SSL_ERROR_BAD_CERT_DOMAIN

Stiamo osservando qualche attacco o questo è solo il fatto che Oracle sia sciatto con i loro siti, reindirizzamenti e certificati?

    
posta wilx 18.12.2018 - 17:09
fonte

2 risposte

2

Vedo lo stesso errore se mi collego a https://xmlns.jcp.org/ , quindi se si tratta di un attacco, non è indirizzato a te o alla tua rete locale.

È interessante notare che https://jcp.org/ sta scontando un certificato diverso e non ho alcun errore su quello. Quella ha solo i seguenti SubjectAlternativeNames: 

DNS Name=jcp.org
DNS Name=www.jcp.org
DNS Name=www2.jcp.org

Ho verificato un certo numero di domini nell'elenco che hai fornito e tutti reindirizzano a un oracle.com URL o includono il logo Oracle da qualche parte sulla pagina, quindi suppongo che usino quel mega cert per siti Web di piccole aziende casuali che Oracle ha acquisito. Suppongo che abbiano usato questo certificato su https://xmlns.jcp.org , ma ho dimenticato di controllare che sia effettivamente coperto da quel certificato.

La mia conclusione: Oracle è sciatto con i loro siti, reindirizzamenti e certificati.

    
risposta data 18.12.2018 - 18:23
fonte
1

Il certificato va bene, è solo Oracle e lo scopo del sito web. Il sito Web è inteso per gli schemi XML che storicamente sono spesso accessibili tramite semplice HTTP. E questo particolare sito Web non è inteso per l'accesso HTTPS e il suo nome non è incluso nell'estensione SAN del certificato SSL. Questo è il motivo per cui ottieni un errore di mancata corrispondenza del nome.

Anche il sito web reindirizzato non è completamente sicuro, perché carica il logo di Oracle da un semplice HTTP e ogni link punta a un semplice HTTP. Tuttavia, il resto del contenuto può essere deliziato tramite HTTPS.

    
risposta data 18.12.2018 - 18:24
fonte

Leggi altre domande sui tag

La migliore protezione contro un attacco "testo cifrato scelto"? Elenco degli exploit non identificabili in MS Exchange 2003 [duplicato]