مدقق إصدار TLS
التفاصيل التقنية
كيف يعمل مدقق TLS
ما الذي تفعله الأداة
يفحص مدقق TLS إعدادات TLS لاسم مضيف عبر محاولة إنشاء اتصالات عند كل إصدار من البروتوكول (TLS 1.0 و1.1 و1.2 و1.3) ويبلّغ عن الإصدارات المدعومة. كما يسترجع تفاصيل شهادة X.509 الخاصة بالخادم بما في ذلك الموضوع، والجهة المُصدِرة، وتواريخ الصلاحية، وأسماء SAN، وحجم المفتاح. يتم تشغيل الفحص عبر واجهة برمجة تطبيقات على جانب الخادم لتجنّب قيود أمان المتصفح على الوصول الخام إلى مقابس TLS.
حالات استخدام شائعة للمطورين
يستخدم مهندسو DevOps مدققات TLS للتحقق من تعطيل البروتوكولات المتقادمة (TLS 1.0/1.1) بعد تغييرات الإعدادات، بما يضمن الامتثال لمعيار PCI-DSS. ويقوم المطورون بتصحيح مشكلات سلسلة الشهادات، والتحقق من تواريخ الانتهاء قبل التجديد، والتأكد من أن شهادات wildcard أو SAN تغطي جميع النطاقات الفرعية المطلوبة. ويفحص مدققو الأمن نقاط النهاية لتحديد دعم البروتوكولات الضعيف الذي قد يعرّض الخدمات لهجمات خفض المستوى مثل POODLE أو BEAST.
تنسيقات البيانات أو أنواعها أو متغيراتها
تتراوح إصدارات TLS من 1.0 (1999، متقادم) مرورًا بـ 1.1 (2006، متقادم) إلى 1.2 (2008، مدعوم على نطاق واسع) و1.3 (2018، الأسرع والأكثر أمانًا). تتضمن معلومات الشهادة الاسم الشائع للموضوع (Common Name) وأسماء الموضوع البديلة (SANs)، وسلسلة الجهة المُصدِرة، ونوع وحجم مفتاح RSA/ECDSA، وخوارزمية التوقيع، وطوابع الصلاحية الزمنية not-before/not-after. تشير النتائج إلى ما إذا كانت مصافحة كل إصدار من البروتوكول قد نجحت أم رفضها الخادم.
المزالق الشائعة والحالات الطرفية
قد تعرض شبكات CDN وموازِنات التحميل شهادات أو إعدادات TLS مختلفة عن خادم الأصل، لذا اختبر دائمًا نقطة النهاية الفعلية التي يتصل بها المستخدمون. يتطلب SNI (Server Name Indication) للمضيفين الذين يقدمون عدة شهادات على عنوان IP واحد — قد يؤدي الاختبار عبر عنوان IP فقط إلى إرجاع الشهادة الخاطئة. تستخدم بعض الخوادم وكلاء إنهاء TLS حيث يدعم الوكيل TLS 1.3 بينما لا يتحدث الخلفي إلا 1.2، ما يعطي انطباعًا مضللًا عن وضع الأمان لسلسلة الاتصال كاملة.
متى تستخدم هذه الأداة بدلًا من الكود
استخدم أداة المتصفح هذه لإجراء فحوصات سريعة ومؤقتة لنقاط نهاية فردية أثناء الاستجابة للحوادث، أو التحقق من تجديد الشهادات، أو فحوصات الامتثال السريعة. وللمراقبة المستمرة لإعدادات TLS عبر العديد من نقاط النهاية، استخدم أدوات مخصصة مثل testssl.sh أو sslyze أو خدمات مراقبة الشهادات السحابية التي توفر التنبيهات، والتتبع التاريخي، وجداول فحص آلية.