بررسیکننده نسخه TLS
جزئیات فنی
بررسیکنندهٔ TLS چگونه کار میکند
این ابزار چه کاری انجام میدهد
بررسیکنندهٔ TLS با تلاش برای برقراری اتصال در هر نسخهٔ پروتکل (TLS 1.0، 1.1، 1.2 و 1.3) پیکربندی TLS یک نام میزبان را بررسی میکند و گزارش میدهد کدام نسخهها پشتیبانی میشوند. همچنین جزئیات گواهی X.509 سرور را شامل subject، issuer، تاریخهای اعتبار، SANها و اندازهٔ کلید بازیابی میکند. این بررسی از طریق یک API سمتسرور اجرا میشود تا از محدودیتهای امنیتی مرورگر برای دسترسی خام به سوکتهای TLS جلوگیری شود.
موارد استفادهٔ رایج برای توسعهدهندگان
مهندسان DevOps از بررسیکنندههای TLS استفاده میکنند تا پس از تغییرات پیکربندی، غیرفعال بودن پروتکلهای منسوخ (TLS 1.0/1.1) را تأیید کنند و از انطباق با PCI-DSS مطمئن شوند. توسعهدهندگان مشکلات زنجیرهٔ گواهی را اشکالزدایی میکنند، تاریخهای انقضا را پیش از تمدید بررسی میکنند و تأیید میکنند که گواهیهای wildcard یا SAN همهٔ زیردامنههای موردنیاز را پوشش میدهند. ممیزان امنیتی نقاط انتهایی را اسکن میکنند تا پشتیبانی ضعیف از پروتکلها را که میتواند سرویسها را در معرض حملات تنزل نسخه مانند POODLE یا BEAST قرار دهد شناسایی کنند.
قالبها، نوعها یا گونههای داده
نسخههای TLS از 1.0 (1999، منسوخ) تا 1.1 (2006، منسوخ) و سپس 1.2 (2008، با پشتیبانی گسترده) و 1.3 (2018، سریعترین و امنترین) را شامل میشوند. اطلاعات گواهی شامل Common Name مربوط به subject و Subject Alternative Names (SANها)، زنجیرهٔ صادرکننده، نوع و اندازهٔ کلید RSA/ECDSA، الگوریتم امضا و برچسبهای زمانی اعتبار not-before/not-after است. نتایج نشان میدهد آیا دستدهی (handshake) هر نسخهٔ پروتکل موفق بوده یا توسط سرور رد شده است.
دامهای رایج و حالتهای لبهای
CDNها و متعادلکنندههای بار ممکن است گواهیها یا پیکربندیهای TLS متفاوتی نسبت به سرور مبدأ ارائه دهند؛ بنابراین همیشه همان نقطهٔ انتهایی واقعی را که کاربران شما به آن متصل میشوند آزمایش کنید. برای میزبانهایی که روی یک IP چندین گواهی ارائه میدهند، SNI (Server Name Indication) لازم است — آزمایش صرفاً با آدرس IP ممکن است گواهی اشتباه را برگرداند. برخی سرورها از پراکسیهای خاتمهٔ TLS استفاده میکنند که در آن پراکسی از TLS 1.3 پشتیبانی میکند اما بکاند فقط 1.2 را صحبت میکند و این میتواند برداشت گمراهکنندهای از وضعیت امنیتی کل زنجیره ایجاد کند.
چه زمانی از این ابزار استفاده کنیم در برابر کُد
از این ابزار مرورگری برای بررسیهای سریع و موردیِ نقاط انتهایی منفرد در زمان پاسخ به رخداد، راستیآزمایی تمدید گواهی، یا بررسیهای نقطهای انطباق استفاده کنید. برای پایش پیوستهٔ پیکربندیهای TLS در تعداد زیادی نقطهٔ انتهایی، از ابزارهای اختصاصی مانند testssl.sh، sslyze یا سرویسهای پایش گواهی مبتنی بر ابر استفاده کنید که هشداردهی، رهگیری تاریخی و زمانبندیهای اسکن خودکار ارائه میدهند.