Observatory by Mozilla es un escáner online creado para ayudar a los desarrolladores y webmasters a crear sitios más seguros. Simplemente ingresando la dirección de una web comenzará a realizar diferentes test, mostrando además los resultados de otras herramientas reconocidas que analizan los certificados SSL y headers HTTP.
Algo muy bueno es que marca de forma muy clara los errores que detecta y puntos que se podrían mejorar. Para cada uno de ellos además incluye un enlace a la wiki de Mozilla donde se pueden encontrar más detalles y consejos.
El siguiente es un resultado de ejemplo para un Banco que opera en mi país:
El resultado como se puede ver no es muy bueno, obteniendo una de las calificaciones más bajas y fallando en puntos que podrían ser considerados como críticos para la web de una entidad financiera. Para otros bancos la situación era similar :S
Por ejemplo, no implementan una política de HSTS (HTTP Strict Transport Security) ni de HPKP (HTTP Public Key Pinning), si bien el sitio cifra las comunicaciones entre sus servidores y los navegadores de los usuarios por medio del HTTPs, al no implementar estas políticas que refuerzan la seguridad un atacante podría fácilmente realizar un man in the middle y suplantar el certificado SSL dejando al HTTPs inservible.
En otras palabras, en una wifi compartida como la de un hotel, aeropuerto o café te pueden interceptar el tráfico de la red para montar una web falsa (phishing) bajo el mismo dominio del banco falsificando el candadito verde del HTTPs sin que te des cuenta.
También te lo pueden hacer en tu propia casa si no tienes la wifi segura, para los interesados en el tema, les recomiendo darle una leída a este artículo escrito por @pablogonzalezpe en el blog de Chema.
Observatory by Mozilla también muestra resultados de https://www.ssllabs.com/ssltest/, https://www.htbridge.com/ssl/ y https://tls.imirhil.fr que analizan los certificados TLS/SSL. También de https://securityheaders.io, una excelente tool que analiza las respuestas de las cabeceras HTTP y https://hstspreload.appspot.com que permite formar parte de la lista de precarga o preloading HSTS de los principales navegadores web.