DevToys Web Pro iconDevToys Web ProБлог
Оценете ни:
Изпробвайте разширението за браузър:

Проверка на версията на TLS

От страна на сървъра
Въведете име на хост по-горе и натиснете „Провери“, за да прегледате TLS конфигурацията му.
Технически подробности

Как работи TLS проверката

Какво прави инструментът

TLS Checker проверява TLS конфигурацията на дадено име на хост, като опитва връзки с всяка версия на протокола (TLS 1.0, 1.1, 1.2 и 1.3) и отчита кои версии се поддържат. Той също извлича подробности за X.509 сертификата на сървъра, включително subject, issuer, дати на валидност, SAN-и и размер на ключа. Проверката се изпълнява чрез сървърно API, за да се избегнат ограниченията за сигурност на браузъра при директен достъп до TLS сокети.

Често срещани случаи на употреба от разработчици

DevOps инженерите използват TLS проверки, за да потвърдят, че остарелите протоколи (TLS 1.0/1.1) са изключени след промени в конфигурацията, като така се гарантира съответствие с PCI-DSS. Разработчиците отстраняват проблеми с веригата на сертификата, проверяват датите на изтичане преди подновяване и потвърждават, че wildcard или SAN сертификатите покриват всички нужни поддомейни. Одиторите по сигурността сканират крайни точки, за да идентифицират слаба поддръжка на протоколи, която може да изложи услугите на атаки за понижаване на версията като POODLE или BEAST.

Формати на данни, типове или варианти

Версиите на TLS варират от 1.0 (1999, остаряла) през 1.1 (2006, остаряла) до 1.2 (2008, широко поддържана) и 1.3 (2018, най-бърза и най-сигурна). Информацията за сертификата включва Common Name на subject и Subject Alternative Names (SANs), веригата на издателя, тип и размер на RSA/ECDSA ключа, алгоритъм за подпис и времеви отметки за валидност not-before/not-after. Резултатите показват дали ръкостискането за всяка версия на протокола е успешно или е отхвърлено от сървъра.

Често срещани капани и гранични случаи

CDN-ите и балансировчиците на натоварване може да представят различни сертификати или TLS конфигурации от тези на origin сървъра, затова винаги тествайте реалната крайна точка, към която се свързват потребителите ви. SNI (Server Name Indication) е необходимо за хостове, които обслужват множество сертификати на един IP — тестването само по IP адрес може да върне грешния сертификат. Някои сървъри използват проксита за TLS терминиране, при които проксито поддържа TLS 1.3, но бекендът говори само 1.2, което създава подвеждащо впечатление за нивото на сигурност по цялата верига.

Кога да използвате този инструмент вместо код

Използвайте този браузърен инструмент за бързи ad-hoc проверки на отделни крайни точки по време на реакция при инциденти, верификация на подновяване на сертификати или точкови проверки за съответствие. За непрекъснат мониторинг на TLS конфигурации в много крайни точки използвайте специализирани инструменти като testssl.sh, sslyze или облачни услуги за мониторинг на сертификати, които предоставят известяване, историческо проследяване и автоматизирани графици за сканиране.