Tjek af TLS-version
Tekniske detaljer
Sådan fungerer TLS Checker
Hvad værktøjet gør
TLS Checker undersøger en værtsnavns TLS-konfiguration ved at forsøge forbindelser på hver protokolversion (TLS 1.0, 1.1, 1.2 og 1.3) og rapporterer, hvilke versioner der understøttes. Den henter også serverens X.509-certifikatdetaljer, herunder subject, issuer, gyldighedsdatoer, SAN'er og nøglestørrelse. Tjekket kører via et server-side API for at undgå browserens sikkerhedsbegrænsninger for rå TLS-socketadgang.
Almindelige anvendelsestilfælde for udviklere
DevOps-ingeniører bruger TLS-checkere til at verificere, at forældede protokoller (TLS 1.0/1.1) er deaktiveret efter konfigurationsændringer, så PCI-DSS-overholdelse sikres. Udviklere fejlsøger problemer med certifikatkæden, tjekker udløbsdatoer før fornyelser og bekræfter, at wildcard- eller SAN-certifikater dækker alle nødvendige underdomæner. Sikkerhedsrevisorer scanner endpoints for at identificere svag protokolunderstøttelse, som kan udsætte tjenester for downgrade-angreb som POODLE eller BEAST.
Dataformater, typer eller varianter
TLS-versioner spænder fra 1.0 (1999, forældet) over 1.1 (2006, forældet) til 1.2 (2008, bredt understøttet) og 1.3 (2018, hurtigst og mest sikker). Certifikatinformationen omfatter subject Common Name og Subject Alternative Names (SAN'er), issuer-kæde, RSA/ECDSA-nøgletype og -størrelse, signaturalgoritme samt not-before/not-after-gyldighedstidsstempler. Resultaterne angiver, om handshake for hver protokolversion lykkedes eller blev afvist af serveren.
Almindelige faldgruber og kanttilfælde
CDN'er og load balancere kan præsentere andre certifikater eller TLS-konfigurationer end origin-serveren, så test altid det faktiske endpoint, som dine brugere forbinder til. SNI (Server Name Indication) er påkrævet for værter, der serverer flere certifikater på én IP — test kun via IP-adresse kan returnere det forkerte certifikat. Nogle servere bruger TLS-termineringsproxyer, hvor proxyen understøtter TLS 1.3, men backend kun taler 1.2, hvilket giver et misvisende indtryk af hele kædens sikkerhedsniveau.
Hvornår du skal bruge dette værktøj vs. kode
Brug dette browserværktøj til hurtige ad-hoc-tjek af enkelte endpoints under incident response, verifikation af certifikatfornyelse eller compliance-stikprøver. Til kontinuerlig overvågning af TLS-konfigurationer på tværs af mange endpoints kan du bruge dedikerede værktøjer som testssl.sh, sslyze eller cloud-baserede certifikatovervågningstjenester, der tilbyder alarmering, historisk sporing og automatiserede scanningsplaner.