领导取证和SSL

时间:2016-05-16 10:25:40

标签: https ssl-security

我们在IIS上有一个ASP.NET网站。我们有Lead Forensics个链接。在切换到所有页面上需要SSL之前,哪个工作正常。它类似于:

<script type="text/javascript" src="http://lead-123.com/js/8303.js"></script>

由于需要SSL,因此跟踪似乎不再起作用。

显然,这是由原始http页面对https链接的请求造成的。但是以下两次尝试也失败了:

src="//lead-123.com/js/8303.js"

src="https://lead-123.com/js/8303.js"

访问跟踪脚本的https URL显示 正在服务(尽管存在安全错误)。

我确信Lead Forensics已经考虑过了。有没有人知道是否有任何约定或变通方法可以使用,以便在网站上不报告安全错误和跟踪工作?我找不到任何关于此的文档,并且到目前为止尝试联系它们尚未证明是成功的。

**

更新

我不确定脚本毕竟是在https链接上托管的。 (它仅在我成功收到http链接的响应后才在我的浏览器中响应)。尽管如此,我仍然在寻找一个关于如何处理这种情况的约定,或者是否使用SSL提供单独的链接,或者实际上该技术是否能够通过SSL工作。

2 个答案:

答案 0 :(得分:4)

Call Lead Forensics支持。他们可以根据请求为跟踪器配置安全端点:

<script type="text/javascript" src="https://secure.leadforensics.com/js/XXXXX.js"></script> 
<noscript>
<img src="https://secure.leadforensics.com/XXXXX.png" style="display:none;" />
</noscript>

答案 1 :(得分:3)

你无能为力。分配给此证书的CN(公用名)名称为*.leadforensics.com;但是,他们不断提供与此证书绑定的其他域名。

ERR_CERT_COMMON_NAME_INVALID是我们得到的错误。

由于整个过程在后台运行,因此浏览器不会打开JS和PNG文件,跟踪也不会发生。

我不确定Lead Forensics如何做到这一点!

我们可以轻松地创建一个变通方法,使用HttpWebRequest类并将X509事件重写为始终为真 - 但创建此类变通办法会违反安全规范并可能掩盖其他漏洞。

所以我已经要求Lead Forensics纠正它。