Comprobador de versión de TLS
Detalles técnicos
Cómo funciona el verificador de TLS
Qué hace la herramienta
El verificador de TLS sondea la configuración TLS de un nombre de host intentando conexiones en cada versión del protocolo (TLS 1.0, 1.1, 1.2 y 1.3) e informa qué versiones son compatibles. También recupera los detalles del certificado X.509 del servidor, incluidos el sujeto, el emisor, las fechas de validez, los SAN y el tamaño de la clave. La comprobación se ejecuta mediante una API del lado del servidor para evitar las restricciones de seguridad del navegador sobre el acceso a sockets TLS sin procesar.
Casos de uso comunes para desarrolladores
Los ingenieros de DevOps usan verificadores de TLS para comprobar que los protocolos obsoletos (TLS 1.0/1.1) estén deshabilitados tras cambios de configuración, garantizando el cumplimiento de PCI-DSS. Los desarrolladores depuran problemas de la cadena de certificados, revisan fechas de caducidad antes de las renovaciones y confirman que los certificados comodín o SAN cubran todos los subdominios necesarios. Los auditores de seguridad escanean endpoints para identificar compatibilidad con protocolos débiles que podría exponer servicios a ataques de degradación como POODLE o BEAST.
Formatos de datos, tipos o variantes
Las versiones de TLS van desde 1.0 (1999, obsoleta) y 1.1 (2006, obsoleta) hasta 1.2 (2008, ampliamente compatible) y 1.3 (2018, la más rápida y segura). La información del certificado incluye el Nombre Común (Common Name) del sujeto y los Nombres Alternativos del Sujeto (SAN), la cadena del emisor, el tipo y tamaño de clave RSA/ECDSA, el algoritmo de firma y las marcas de tiempo de validez not-before/not-after. Los resultados indican si el handshake de cada versión del protocolo tuvo éxito o fue rechazado por el servidor.
Errores comunes y casos límite
Las CDN y los balanceadores de carga pueden presentar certificados o configuraciones TLS diferentes a los del servidor de origen, así que pruebe siempre el endpoint real al que se conectan sus usuarios. SNI (Server Name Indication) es necesario para hosts que sirven varios certificados en una sola IP; probar solo por dirección IP puede devolver el certificado incorrecto. Algunos servidores usan proxies de terminación TLS en los que el proxy admite TLS 1.3 pero el backend solo habla 1.2, lo que da una impresión engañosa de la postura de seguridad de toda la cadena.
Cuándo usar esta herramienta vs código
Use esta herramienta del navegador para comprobaciones rápidas ad hoc de endpoints individuales durante la respuesta a incidentes, la verificación de renovaciones de certificados o revisiones puntuales de cumplimiento. Para la monitorización continua de configuraciones TLS en muchos endpoints, use herramientas dedicadas como testssl.sh, sslyze o servicios de monitorización de certificados en la nube que proporcionan alertas, seguimiento histórico y programaciones de escaneo automatizadas.