Έλεγχος Έκδοσης TLS
Τεχνικές λεπτομέρειες
Πώς λειτουργεί ο Έλεγχος TLS
Τι κάνει το εργαλείο
Ο Έλεγχος TLS διερευνά τη ρύθμιση TLS ενός hostname επιχειρώντας συνδέσεις σε κάθε έκδοση πρωτοκόλλου (TLS 1.0, 1.1, 1.2 και 1.3) και αναφέρει ποιες εκδόσεις υποστηρίζονται. Επίσης ανακτά τις λεπτομέρειες του πιστοποιητικού X.509 του διακομιστή, συμπεριλαμβανομένων του subject, του issuer, των ημερομηνιών ισχύος, των SANs και του μεγέθους κλειδιού. Ο έλεγχος εκτελείται μέσω API στην πλευρά του διακομιστή για να αποφεύγονται οι περιορισμοί ασφαλείας του browser στην άμεση πρόσβαση σε raw TLS sockets.
Συνηθισμένες περιπτώσεις χρήσης για προγραμματιστές
Οι μηχανικοί DevOps χρησιμοποιούν ελεγκτές TLS για να επαληθεύσουν ότι τα παρωχημένα πρωτόκολλα (TLS 1.0/1.1) είναι απενεργοποιημένα μετά από αλλαγές ρύθμισης, διασφαλίζοντας συμμόρφωση με PCI-DSS. Οι προγραμματιστές εντοπίζουν προβλήματα στην αλυσίδα πιστοποιητικών, ελέγχουν ημερομηνίες λήξης πριν από ανανεώσεις και επιβεβαιώνουν ότι τα wildcard ή SAN πιστοποιητικά καλύπτουν όλα τα απαιτούμενα subdomains. Οι ελεγκτές ασφάλειας σαρώνουν endpoints για να εντοπίσουν αδύναμη υποστήριξη πρωτοκόλλων που θα μπορούσε να εκθέσει υπηρεσίες σε επιθέσεις υποβάθμισης όπως POODLE ή BEAST.
Μορφές δεδομένων, τύποι ή παραλλαγές
Οι εκδόσεις TLS κυμαίνονται από την 1.0 (1999, παρωχημένη) και την 1.1 (2006, παρωχημένη) έως την 1.2 (2008, ευρέως υποστηριζόμενη) και την 1.3 (2018, η ταχύτερη και πιο ασφαλής). Οι πληροφορίες πιστοποιητικού περιλαμβάνουν το subject Common Name και τα Subject Alternative Names (SANs), την αλυσίδα issuer, τον τύπο και το μέγεθος κλειδιού RSA/ECDSA, τον αλγόριθμο υπογραφής και χρονικές σφραγίδες ισχύος not-before/not-after. Τα αποτελέσματα δείχνουν αν το handshake κάθε έκδοσης πρωτοκόλλου πέτυχε ή απορρίφθηκε από τον διακομιστή.
Συνηθισμένα λάθη και οριακές περιπτώσεις
Τα CDNs και οι load balancers μπορεί να παρουσιάζουν διαφορετικά πιστοποιητικά ή ρυθμίσεις TLS από τον origin server, οπότε να δοκιμάζετε πάντα το πραγματικό endpoint στο οποίο συνδέονται οι χρήστες σας. Το SNI (Server Name Indication) απαιτείται για hosts που εξυπηρετούν πολλαπλά πιστοποιητικά σε μία IP — ο έλεγχος μόνο με IP διεύθυνση μπορεί να επιστρέψει λάθος πιστοποιητικό. Ορισμένοι διακομιστές χρησιμοποιούν proxies τερματισμού TLS όπου το proxy υποστηρίζει TLS 1.3 αλλά το backend μιλά μόνο 1.2, δίνοντας παραπλανητική εικόνα για τη στάση ασφάλειας ολόκληρης της αλυσίδας.
Πότε να χρησιμοποιήσετε αυτό το εργαλείο έναντι κώδικα
Χρησιμοποιήστε αυτό το εργαλείο browser για γρήγορους ad-hoc ελέγχους μεμονωμένων endpoints κατά την απόκριση σε περιστατικά, την επαλήθευση ανανέωσης πιστοποιητικών ή δειγματοληπτικούς ελέγχους συμμόρφωσης. Για συνεχή παρακολούθηση ρυθμίσεων TLS σε πολλά endpoints, χρησιμοποιήστε εξειδικευμένα εργαλεία όπως testssl.sh, sslyze ή υπηρεσίες παρακολούθησης πιστοποιητικών στο cloud που παρέχουν ειδοποιήσεις, ιστορική παρακολούθηση και αυτοματοποιημένα προγράμματα σάρωσης.