Test de certificados SSL defectuosos en badssl.com

By | October 15, 2017

¿Qué tipo de error obtenemos en nuestro navegador cuando visitamos una web con un certificado expirado? ¿Si dicha web contiene contenido mixto con imágenes que se sirven por HTTP? ¿Y si las suites de cifrado no son seguras? Siempre podemos montarnos un servidor web Apache/Nginx y crear certificados con OpenSSL para realizar tests, pero la página badssl.com ya nos proporciona una gran cantidad de certificados con los que probar sin necesidad de tener que montar por nuestra cuenta una infraestructura y certificados de prueba.

Entre otros, podemos encontrar certificados autofirmados, con CN incorrecto, expirados, revocados, suites de cifrado débil RC4 o 3DES, sites con contenido mixto (formularios o imágenes que van por HTTP), etc… Por ejemplo, una prueba de contenido mixto (very):

Al visitar un site que utiliza algoritmo SHA-1 (considerado débil) para firma del certificado:

El proyecto es mantenido por desarrolladores de Firefox y Chrome y también por administradores de conocidas firmas de certificación como DigiCert o Comodo. Tenéis los detalles en la página del proyecto de GitHub, donde además hay instrucciones sobre cómo montar un entorno de testing con Docker.