DevToys Web Pro iconDevToys Web ProBlog
Bedøm os:
Prøv browserudvidelsen:

Tjek af TLS-version

På serversiden
Indtast et værtsnavn ovenfor, og klik på Kontrollér for at inspicere dets TLS-konfiguration.
Tekniske detaljer

Sådan fungerer TLS Checker

Hvad værktøjet gør

TLS Checker undersøger en værtsnavns TLS-konfiguration ved at forsøge forbindelser på hver protokolversion (TLS 1.0, 1.1, 1.2 og 1.3) og rapporterer, hvilke versioner der understøttes. Den henter også serverens X.509-certifikatdetaljer, herunder subject, issuer, gyldighedsdatoer, SAN'er og nøglestørrelse. Tjekket kører via et server-side API for at undgå browserens sikkerhedsbegrænsninger for rå TLS-socketadgang.

Almindelige anvendelsestilfælde for udviklere

DevOps-ingeniører bruger TLS-checkere til at verificere, at forældede protokoller (TLS 1.0/1.1) er deaktiveret efter konfigurationsændringer, så PCI-DSS-overholdelse sikres. Udviklere fejlsøger problemer med certifikatkæden, tjekker udløbsdatoer før fornyelser og bekræfter, at wildcard- eller SAN-certifikater dækker alle nødvendige underdomæner. Sikkerhedsrevisorer scanner endpoints for at identificere svag protokolunderstøttelse, som kan udsætte tjenester for downgrade-angreb som POODLE eller BEAST.

Dataformater, typer eller varianter

TLS-versioner spænder fra 1.0 (1999, forældet) over 1.1 (2006, forældet) til 1.2 (2008, bredt understøttet) og 1.3 (2018, hurtigst og mest sikker). Certifikatinformationen omfatter subject Common Name og Subject Alternative Names (SAN'er), issuer-kæde, RSA/ECDSA-nøgletype og -størrelse, signaturalgoritme samt not-before/not-after-gyldighedstidsstempler. Resultaterne angiver, om handshake for hver protokolversion lykkedes eller blev afvist af serveren.

Almindelige faldgruber og kanttilfælde

CDN'er og load balancere kan præsentere andre certifikater eller TLS-konfigurationer end origin-serveren, så test altid det faktiske endpoint, som dine brugere forbinder til. SNI (Server Name Indication) er påkrævet for værter, der serverer flere certifikater på én IP — test kun via IP-adresse kan returnere det forkerte certifikat. Nogle servere bruger TLS-termineringsproxyer, hvor proxyen understøtter TLS 1.3, men backend kun taler 1.2, hvilket giver et misvisende indtryk af hele kædens sikkerhedsniveau.

Hvornår du skal bruge dette værktøj vs. kode

Brug dette browserværktøj til hurtige ad-hoc-tjek af enkelte endpoints under incident response, verifikation af certifikatfornyelse eller compliance-stikprøver. Til kontinuerlig overvågning af TLS-konfigurationer på tværs af mange endpoints kan du bruge dedikerede værktøjer som testssl.sh, sslyze eller cloud-baserede certifikatovervågningstjenester, der tilbyder alarmering, historisk sporing og automatiserede scanningsplaner.