Comprovador de versions TLS
Detalls tècnics
Com funciona el comprovador de TLS
Què fa l’eina
El comprovador de TLS sondeja la configuració TLS d’un nom d’amfitrió intentant connexions a cada versió del protocol (TLS 1.0, 1.1, 1.2 i 1.3) i informa de quines versions són compatibles. També recupera els detalls del certificat X.509 del servidor, incloent-hi el subjecte, l’emissor, les dates de validesa, els SAN i la mida de la clau. La comprovació s’executa mitjançant una API del costat del servidor per evitar les restriccions de seguretat del navegador sobre l’accés directe a sòcols TLS.
Casos d’ús habituals per a desenvolupadors
Els enginyers de DevOps utilitzen comprovadors de TLS per verificar que els protocols obsolets (TLS 1.0/1.1) estan desactivats després de canvis de configuració, garantint el compliment de PCI-DSS. Els desenvolupadors depuren problemes de la cadena de certificats, comproven les dates de caducitat abans de les renovacions i confirmen que els certificats wildcard o SAN cobreixen tots els subdominis necessaris. Els auditors de seguretat escanegen endpoints per identificar compatibilitat amb protocols febles que podria exposar serveis a atacs de degradació com POODLE o BEAST.
Formats, tipus o variants de dades
Les versions de TLS van des de la 1.0 (1999, obsoleta) passant per la 1.1 (2006, obsoleta) fins a la 1.2 (2008, àmpliament compatible) i la 1.3 (2018, la més ràpida i segura). La informació del certificat inclou el Common Name del subjecte i els Subject Alternative Names (SAN), la cadena d’emissors, el tipus i la mida de la clau RSA/ECDSA, l’algoritme de signatura i les marques de temps de validesa not-before/not-after. Els resultats indiquen si l’encaixada de mans de cada versió del protocol s’ha completat amb èxit o ha estat rebutjada pel servidor.
Errors habituals i casos límit
Els CDN i els equilibradors de càrrega poden presentar certificats o configuracions TLS diferents dels del servidor d’origen, així que prova sempre l’endpoint real al qual es connecten els teus usuaris. L’SNI (Server Name Indication) és necessari per a hosts que serveixen diversos certificats en una sola IP — fer proves només per adreça IP pot retornar el certificat equivocat. Alguns servidors utilitzen proxies de terminació TLS on el proxy admet TLS 1.3 però el backend només parla 1.2, cosa que dona una impressió enganyosa de la postura de seguretat de tota la cadena.
Quan utilitzar aquesta eina vs codi
Utilitza aquesta eina del navegador per a comprovacions ràpides i ad-hoc d’endpoints individuals durant la resposta a incidents, la verificació de renovacions de certificats o comprovacions puntuals de compliment. Per a la monitorització contínua de configuracions TLS a molts endpoints, utilitza eines dedicades com testssl.sh, sslyze o serveis de monitorització de certificats al núvol que ofereixen alertes, seguiment històric i calendaris d’escaneig automatitzats.