MASTG-TOOL-0143: badssl

badssl.com 是 Chromium 项目维护的一个网站,它提供了各种 SSL/TLS 证书配置,用于测试安全性实现。 它提供了一个全面的测试子域名集合,这些子域名具有不同的证书问题和配置,以帮助开发人员和安全测试人员验证应用程序如何处理 SSL/TLS 证书验证。

该工具提供了常见 SSL/TLS 漏洞和错误配置的测试用例,包括

  • 自签名证书 (self-signed.badssl.com)
  • 过期证书 (expired.badssl.com)
  • 错误的域名证书 (wrong.host.badssl.com)
  • 不受信任的根证书 (untrusted-root.badssl.com)
  • 混合内容场景 (mixed.badssl.com)
  • 弱密码套件 (rc4.badssl.com, dh512.badssl.com)
  • HSTS 测试 (hsts.badssl.com)
  • 证书透明度问题 (no-sct.badssl.com)

这使得 badssl.com 特别适用于测试移动应用程序的 SSL/TLS 证书验证逻辑,并确保它们正确拒绝无效证书并正确处理各种安全场景。