DevToys Web Pro iconDevToys Web ProBlog
Bewerten Sie uns:
Browser-Erweiterung ausprobieren:

TLS-Version-Checker

Serverseitig
Gib oben einen Hostnamen ein und klicke auf „Prüfen“, um dessen TLS-Konfiguration zu überprüfen.
Technische Details

Wie der TLS-Checker funktioniert

Was das Tool macht

Der TLS-Checker prüft die TLS-Konfiguration eines Hostnamens, indem er bei jeder Protokollversion (TLS 1.0, 1.1, 1.2 und 1.3) Verbindungen aufzubauen versucht, und meldet, welche Versionen unterstützt werden. Außerdem ruft er die X.509-Zertifikatsdetails des Servers ab, einschließlich Subject, Issuer, Gültigkeitsdaten, SANs und Schlüssellänge. Die Prüfung läuft über eine serverseitige API, um Browser-Sicherheitsbeschränkungen beim direkten Zugriff auf rohe TLS-Sockets zu umgehen.

Häufige Anwendungsfälle für Entwickler

DevOps-Ingenieure nutzen TLS-Checker, um nach Konfigurationsänderungen zu verifizieren, dass veraltete Protokolle (TLS 1.0/1.1) deaktiviert sind, und so die PCI-DSS-Compliance sicherzustellen. Entwickler debuggen Probleme in der Zertifikatskette, prüfen Ablaufdaten vor Erneuerungen und bestätigen, dass Wildcard- oder SAN-Zertifikate alle erforderlichen Subdomains abdecken. Sicherheitsauditoren scannen Endpunkte, um schwache Protokollunterstützung zu identifizieren, die Dienste für Downgrade-Angriffe wie POODLE oder BEAST anfällig machen könnte.

Datenformate, Typen oder Varianten

TLS-Versionen reichen von 1.0 (1999, veraltet) über 1.1 (2006, veraltet) bis 1.2 (2008, weit verbreitet) und 1.3 (2018, am schnellsten und am sichersten). Die Zertifikatsinformationen umfassen den Subject Common Name und Subject Alternative Names (SANs), die Issuer-Kette, den RSA/ECDSA-Schlüsseltyp und die -größe, den Signaturalgorithmus sowie not-before/not-after-Gültigkeitszeitstempel. Die Ergebnisse zeigen an, ob der Handshake jeder Protokollversion erfolgreich war oder vom Server abgelehnt wurde.

Häufige Fallstricke und Sonderfälle

CDNs und Load Balancer können andere Zertifikate oder TLS-Konfigurationen präsentieren als der Origin-Server; testen Sie daher immer den tatsächlichen Endpunkt, mit dem sich Ihre Nutzer verbinden. SNI (Server Name Indication) ist für Hosts erforderlich, die mehrere Zertifikate auf einer IP bereitstellen — Tests nur per IP-Adresse können das falsche Zertifikat zurückgeben. Manche Server verwenden TLS-Termination-Proxys, bei denen der Proxy TLS 1.3 unterstützt, das Backend jedoch nur 1.2 spricht, was einen irreführenden Eindruck von der Sicherheitslage der gesamten Kette vermitteln kann.

Wann dieses Tool statt Code verwenden

Nutzen Sie dieses Browser-Tool für schnelle, ad-hoc Prüfungen einzelner Endpunkte während Incident Response, zur Verifikation von Zertifikatserneuerungen oder für Compliance-Stichproben. Für kontinuierliches Monitoring von TLS-Konfigurationen über viele Endpunkte hinweg verwenden Sie dedizierte Tools wie testssl.sh, sslyze oder cloudbasierte Zertifikats-Monitoring-Dienste, die Alarmierung, historische Nachverfolgung und automatisierte Scan-Zeitpläne bieten.