DevToys Web Pro iconDevToys Web ProBlogi
Hinda meid:
Proovi brauserilaiendust:

TLS-i versiooni kontrollija

Serveripoolne
TLS-i seadistuse kontrollimiseks sisesta ülal hostinimi ja klõpsa Kontrolli.
Tehnilised üksikasjad

Kuidas TLS-i kontrollija töötab

Mida tööriist teeb

TLS-i kontrollija uurib hostinime TLS-i seadistust, proovides luua ühenduse iga protokolliversiooniga (TLS 1.0, 1.1, 1.2 ja 1.3) ning raporteerib, millised versioonid on toetatud. Samuti hangib see serveri X.509 sertifikaadi üksikasjad, sh subjekt, väljastaja, kehtivuskuupäevad, SAN-id ja võtme pikkus. Kontroll käib serveripoolse API kaudu, et vältida brauseri turvapiiranguid toore TLS-sokli ligipääsule.

Levinud kasutusjuhtumid arendajatele

DevOps-insenerid kasutavad TLS-i kontrollijaid, et veenduda, et aegunud protokollid (TLS 1.0/1.1) on pärast seadistusmuudatusi välja lülitatud, tagades PCI-DSS-i nõuetele vastavuse. Arendajad siluvad sertifikaadiahela probleeme, kontrollivad aegumiskuupäevi enne uuendamist ning kinnitavad, et wildcard- või SAN-sertifikaadid katavad kõik vajalikud alamdomeenid. Turbeauditorid skaneerivad lõpp-punkte, et tuvastada nõrk protokollitugi, mis võib teenused avada alandusrünnetele nagu POODLE või BEAST.

Andmevormingud, tüübid või variandid

TLS-i versioonid ulatuvad 1.0-st (1999, aegunud) läbi 1.1 (2006, aegunud) kuni 1.2-ni (2008, laialdaselt toetatud) ja 1.3-ni (2018, kiireim ja kõige turvalisem). Sertifikaaditeave sisaldab subjekti Common Name’i ja Subject Alternative Names’i (SAN-id), väljastajate ahelat, RSA/ECDSA võtme tüüpi ja suurust, allkirjaalgoritmi ning not-before/not-after kehtivuse ajatempleid. Tulemused näitavad, kas iga protokolliversiooni käepigistus õnnestus või server lükkas selle tagasi.

Levinud komistuskivid ja erijuhud

CDN-id ja koormusjaoturid võivad esitada teistsuguseid sertifikaate või TLS-i seadistusi kui päritoluserver, seega testi alati tegelikku lõpp-punkti, millega kasutajad ühenduvad. SNI (Server Name Indication) on vajalik hostidele, mis teenindavad ühel IP-l mitut sertifikaati — ainult IP-aadressi järgi testimine võib tagastada vale sertifikaadi. Mõned serverid kasutavad TLS-i lõpetamise proksisid, kus proksi toetab TLS 1.3, kuid taustasüsteem räägib ainult 1.2, jättes eksitava mulje kogu ahela turvatasemest.

Millal kasutada seda tööriista vs koodi

Kasuta seda brauseritööriista kiireteks ad-hoc kontrollideks üksikute lõpp-punktide puhul intsidentidele reageerimisel, sertifikaadi uuendamise verifitseerimisel või vastavuse pistelistes kontrollides. TLS-i seadistuste pidevaks monitoorimiseks paljude lõpp-punktide lõikes kasuta spetsiaalseid tööriistu nagu testssl.sh, sslyze või pilvepõhiseid sertifikaadimonitooringu teenuseid, mis pakuvad teavitusi, ajaloolist jälgimist ja automatiseeritud skaneerimisgraafikuid.