DevToys Web Pro iconDevToys Web Proوبلاگ
به ما امتیاز دهید:
افزونه مرورگر را امتحان کنید:

بررسی‌کننده نسخه TLS

سمت سرور
نام میزبان را در بالا وارد کنید و برای بررسی پیکربندی TLS آن روی «بررسی» کلیک کنید.
جزئیات فنی

بررسی‌کنندهٔ TLS چگونه کار می‌کند

این ابزار چه کاری انجام می‌دهد

بررسی‌کنندهٔ TLS با تلاش برای برقراری اتصال در هر نسخهٔ پروتکل (TLS 1.0، 1.1، 1.2 و 1.3) پیکربندی TLS یک نام میزبان را بررسی می‌کند و گزارش می‌دهد کدام نسخه‌ها پشتیبانی می‌شوند. همچنین جزئیات گواهی X.509 سرور را شامل subject، issuer، تاریخ‌های اعتبار، SANها و اندازهٔ کلید بازیابی می‌کند. این بررسی از طریق یک API سمت‌سرور اجرا می‌شود تا از محدودیت‌های امنیتی مرورگر برای دسترسی خام به سوکت‌های TLS جلوگیری شود.

موارد استفادهٔ رایج برای توسعه‌دهندگان

مهندسان DevOps از بررسی‌کننده‌های TLS استفاده می‌کنند تا پس از تغییرات پیکربندی، غیرفعال بودن پروتکل‌های منسوخ (TLS 1.0/1.1) را تأیید کنند و از انطباق با PCI-DSS مطمئن شوند. توسعه‌دهندگان مشکلات زنجیرهٔ گواهی را اشکال‌زدایی می‌کنند، تاریخ‌های انقضا را پیش از تمدید بررسی می‌کنند و تأیید می‌کنند که گواهی‌های wildcard یا SAN همهٔ زیردامنه‌های موردنیاز را پوشش می‌دهند. ممیزان امنیتی نقاط انتهایی را اسکن می‌کنند تا پشتیبانی ضعیف از پروتکل‌ها را که می‌تواند سرویس‌ها را در معرض حملات تنزل نسخه مانند POODLE یا BEAST قرار دهد شناسایی کنند.

قالب‌ها، نوع‌ها یا گونه‌های داده

نسخه‌های TLS از 1.0 (1999، منسوخ) تا 1.1 (2006، منسوخ) و سپس 1.2 (2008، با پشتیبانی گسترده) و 1.3 (2018، سریع‌ترین و امن‌ترین) را شامل می‌شوند. اطلاعات گواهی شامل Common Name مربوط به subject و Subject Alternative Names (SANها)، زنجیرهٔ صادرکننده، نوع و اندازهٔ کلید RSA/ECDSA، الگوریتم امضا و برچسب‌های زمانی اعتبار not-before/not-after است. نتایج نشان می‌دهد آیا دست‌دهی (handshake) هر نسخهٔ پروتکل موفق بوده یا توسط سرور رد شده است.

دام‌های رایج و حالت‌های لبه‌ای

CDNها و متعادل‌کننده‌های بار ممکن است گواهی‌ها یا پیکربندی‌های TLS متفاوتی نسبت به سرور مبدأ ارائه دهند؛ بنابراین همیشه همان نقطهٔ انتهایی واقعی را که کاربران شما به آن متصل می‌شوند آزمایش کنید. برای میزبان‌هایی که روی یک IP چندین گواهی ارائه می‌دهند، SNI (Server Name Indication) لازم است — آزمایش صرفاً با آدرس IP ممکن است گواهی اشتباه را برگرداند. برخی سرورها از پراکسی‌های خاتمهٔ TLS استفاده می‌کنند که در آن پراکسی از TLS 1.3 پشتیبانی می‌کند اما بک‌اند فقط 1.2 را صحبت می‌کند و این می‌تواند برداشت گمراه‌کننده‌ای از وضعیت امنیتی کل زنجیره ایجاد کند.

چه زمانی از این ابزار استفاده کنیم در برابر کُد

از این ابزار مرورگری برای بررسی‌های سریع و موردیِ نقاط انتهایی منفرد در زمان پاسخ به رخداد، راستی‌آزمایی تمدید گواهی، یا بررسی‌های نقطه‌ای انطباق استفاده کنید. برای پایش پیوستهٔ پیکربندی‌های TLS در تعداد زیادی نقطهٔ انتهایی، از ابزارهای اختصاصی مانند testssl.sh، sslyze یا سرویس‌های پایش گواهی مبتنی بر ابر استفاده کنید که هشداردهی، رهگیری تاریخی و زمان‌بندی‌های اسکن خودکار ارائه می‌دهند.