DevToys Web Pro iconDevToys Web ProBlog
Ohodnoťte nás:
Vyzkoušejte rozšíření pro prohlížeč:

Kontrola verze TLS

Na straně serveru
Zadejte výše název hostitele a klikněte na Zkontrolovat pro prověření jeho konfigurace TLS.
Technické detaily

Jak funguje kontrola TLS

Co nástroj dělá

Kontrola TLS otestuje konfiguraci TLS daného hostnamu tím, že se pokusí navázat spojení pro každou verzi protokolu (TLS 1.0, 1.1, 1.2 a 1.3) a nahlásí, které verze jsou podporované. Zároveň načte podrobnosti o serverovém certifikátu X.509 včetně subjektu, vydavatele, dat platnosti, SAN a velikosti klíče. Kontrola běží přes serverové API, aby se obešla bezpečnostní omezení prohlížeče týkající se přímého přístupu k TLS socketům.

Běžné případy použití pro vývojáře

DevOps inženýři používají kontroly TLS k ověření, že zastaralé protokoly (TLS 1.0/1.1) jsou po změnách konfigurace vypnuté, a tím je zajištěna shoda s PCI-DSS. Vývojáři ladí problémy s řetězcem certifikátů, kontrolují data expirace před obnovou a potvrzují, že wildcard nebo SAN certifikáty pokrývají všechny potřebné subdomény. Bezpečnostní auditoři skenují endpointy, aby identifikovali slabou podporu protokolů, která by mohla vystavit služby downgrade útokům, jako jsou POODLE nebo BEAST.

Datové formáty, typy nebo varianty

Verze TLS sahají od 1.0 (1999, zastaralá) přes 1.1 (2006, zastaralá) po 1.2 (2008, široce podporovaná) a 1.3 (2018, nejrychlejší a nejbezpečnější). Informace o certifikátu zahrnují Common Name subjektu a Subject Alternative Names (SAN), řetězec vydavatele, typ a velikost klíče RSA/ECDSA, podpisový algoritmus a časová razítka platnosti not-before/not-after. Výsledky ukazují, zda handshake pro každou verzi protokolu uspěl, nebo byl serverem odmítnut.

Běžné nástrahy a okrajové případy

CDN a load balancery mohou prezentovat jiné certifikáty nebo konfigurace TLS než origin server, proto vždy testujte skutečný endpoint, ke kterému se vaši uživatelé připojují. SNI (Server Name Indication) je vyžadováno u hostů, kteří obsluhují více certifikátů na jedné IP — testování pouze podle IP adresy může vrátit nesprávný certifikát. Některé servery používají proxy pro TLS terminaci, kde proxy podporuje TLS 1.3, ale backend komunikuje jen přes 1.2, což může vytvářet zavádějící dojem o bezpečnostním stavu celého řetězce.

Kdy použít tento nástroj vs. kód

Tento nástroj v prohlížeči použijte pro rychlé ad-hoc kontroly jednotlivých endpointů během řešení incidentů, ověřování obnovy certifikátů nebo namátkových kontrol shody. Pro průběžné monitorování konfigurací TLS napříč mnoha endpointy použijte specializované nástroje jako testssl.sh, sslyze nebo cloudové služby pro monitoring certifikátů, které poskytují upozornění, historické sledování a automatizované plány skenování.