セキュリティ証明書の期限が切れていることをWebサイトにどのように伝えますか?
NASAのWebサイトのあいまいなページによくアクセスし、時々期限切れのセキュリティ証明書に遭遇することに慣れてきました。この1週間で、それはさらに多くのことを示し始め、おそらく私は(単にイライラするのではなく)彼らに伝えるべきだと私が決めたポイントに達しました。しかし、少し見回した後で、その巨大な組織内のメッセージを、実際に何かをすることができる誰かに向ける方法がわからないことに気付きました。
誰かがそのメッセージを適切な人々に届ける方法はありますか?
最近の3つの例:
(2番目と3番目のアドレスを確認した他の誰かが警告を受け取らなくなったと言っていますが、私はまだ警告します。SSERVIサイトはまだすべての人にその方法を示しています。)
更新:一般的なアドレスに連絡するためのコメントは、他に何もしない場合はそれを行う必要があるという点で優れています。しかし、適切な人にメッセージを送ることで多くの時間を節約でき、もう少し知っていればそれを行う方法があるように思われました。それが私が投稿した理由です。誰かが後で検索してこれを見つけ、これらの通知を適切な場所にすばやく届けられると思いました。
この場合、答えは証明書の(一種の)です(これはそれが珍しいことではありません):
openssl s_client -connect sservi.nasa.gov:443 | openssl x509 -text
<...snip...>
Authority Information Access:
CA Issuers - URI:http://pki.treas.gov/noca_ee_aia.p7c
CA Issuers - URI:ldap://lc.nasa.gov/ou=NASA%20Operational%20CA,ou=Certification%20Authorities,ou=NASA,o=U.S.%20Government,c=US?cACertificate;binary
OCSP - URI:http://ocsp.treas.gov
最初のリンク(P7Cファイルを除く)は、「お問い合わせ」のあるランディングページを提供します。 http://pki.treas.gov/contact_us.htm
チェックする価値のある別のツール(ときどき)はwhoisですが、x509のオーソリティ情報はチェックするのにより適切な場所のようです。
「適切な人々」を見つけることは、最高の時には難しい場合があります。 Web開発者ですか?サーバー管理者?ネットワーク管理者?ページが不明瞭な場合、それらは独自の構造を持つ不明瞭な部門によって処理される可能性があります。
これに対する明確な答えはなく、最善の努力を尽くす必要があるだけです。 NASAのページでは、ページの所有者が一番下に表示される傾向があります。あなたはそれを使って直接の連絡先を見つけることができるかもしれません。
それ以外の場合は、一般的な連絡先メールまたは一般的なコメントフォームが機能します。大規模な組織の一般的な受信トレイに送信するようなレポートを送信しましたが、適切な人に届きました。
明示的な通信方法がない場合は、開いているチャネルを使用してください。
NASAのWebサイトでは、サイトのホームページに責任あるNASAの公式(RNO)がリストされている必要があります。その人はおそらくサイトのWebマスターにはならないでしょうが、サイトの問題に対処するために誰に連絡するべきかを知っているべきです。 sservi.nasa.govの場合、その人の名前はページの下部にリストされ、イボンヌペンドルトンです。スパムで拾われる可能性のあるメールアドレスはここには記載しません spiders ですが、 NASA Enterprise Directory(NED) にアクセスして、彼女の名前で検索できます彼女の連絡先情報を見つけます。リストした2番目のWebサイトにも、ホームページの下部にリストされているRNOの名前があり、彼の連絡先情報はNEDから入手できます。 3番目はRNOをリストしていませんが、RNOは Ames Research Center(ARC) のRuth K. Globusであり、彼女の連絡先情報もNEDにあります。
しかし、質問に対するコメントでトリスタンが指摘したように、問題は、多くのNASAサイトと同様に、サイトが米国財務省が発行した証明書を使用することです。これらはNASAのWebサイトでは無料ですが、商用ソースから証明書を取得するとコストがかかる可能性があるため、サイトが一般市民から広くアクセスされていない場合は、米国財務省発行の証明書を持っている可能性があります。もちろん、RNOがNASAの外部の人々からブラウザの証明書の問題を報告しているという通知を受け取った場合、おそらくRNOがWebマスターに別の証明書を取得させる可能性があります。当局が提供するシステムからサイトにアクセスしているNASAの担当者がそのような警告を見ることはないため、彼または彼女がそれが問題であることさえ知らない可能性もあります。 認証局(CA) 。
[email protected] [email protected]にメールを送ってみることもできます。何か問題がある場合は、abuse @ site.tld
それらは常に機能するとは限りませんが、サービスによっては最後の2つを構成する必要があります。 (例:グーグル)。また、Googleはメールをホストするドメイン宛ての不正メールを読み取ります。
理想的には、可能な場合はメールまたはサイト内メッセージを送信するのと同じくらい簡単である必要があります。通常、WHOISを介したドメインの検索は、うまくいくとは限りませんが、うまくいくはずです。 WHOIS(およびその他の情報)ルックアップのためのそのようなツールの1つは network-tools.com(sservi.nasa.govの結果へのリンクの例) ;です。これは、連絡先情報のwhois.arin.net登録情報を示しています。疑わしい場合は、ほとんどの組織がキャッチオールアカウントを持っているか、少なくともアクティブに雇用されていないユーザーからの転送アカウントを持っている必要があるため、誰か責任者が受け取る必要がありますそのようなメール。 NASAなどの大規模な組織では、別の部門やチームのメンバーを見つけ、同じ関心領域(IT、Web、サーバー運用など)内にいると、そのような情報の転送に役立ちます。
それ以上に、評判の良いサードパーティのソースから問題を示す参照リンクを送信するのが最善です。 Qualys SSL Labs Serverテストツールから問題のサイトのスキャン結果にリンクすることをお勧めします。
たとえば、以下は sservi.nasa.govの結果 です。この場合などの例外を除いて、全体のグレードが割り当てられます(A、B、Cなど)。信頼できる証明書の問題の「T」。これは「不合格」のグレードと見なされます。この特定のツールは、ランク付けに関するすべての要件を反復し、深刻な/重要なニーズを強調表示します。
比較を探しているなら、これが google.comの比較的強いスコア です。
この特定のツールは、Webや管理の分野では比較的よく知られており、サイトを管理する人々にとっては参考になるはずです。