TLS-version tarkistin
Tekniset tiedot
Miten TLS-tarkistin toimii
Mitä työkalu tekee
TLS-tarkistin tutkii isäntänimen TLS-määrityksiä yrittämällä muodostaa yhteyden jokaisella protokollaversiolla (TLS 1.0, 1.1, 1.2 ja 1.3) ja raportoi, mitkä versiot ovat tuettuja. Se hakee myös palvelimen X.509-varmenteen tiedot, mukaan lukien subject, issuer, voimassaolopäivät, SANit ja avaimen pituus. Tarkistus suoritetaan palvelinpuolen API:n kautta, jotta vältetään selaimen tietoturvarajoitukset raakaan TLS-sokettikäyttöön.
Yleiset kehittäjien käyttötapaukset
DevOps-insinöörit käyttävät TLS-tarkistimia varmistaakseen, että vanhentuneet protokollat (TLS 1.0/1.1) on poistettu käytöstä määritysmuutosten jälkeen, mikä varmistaa PCI-DSS-vaatimustenmukaisuuden. Kehittäjät selvittävät varmenneketjun ongelmia, tarkistavat vanhenemispäivät ennen uusimisia ja varmistavat, että wildcard- tai SAN-varmenteet kattavat kaikki tarvittavat aliverkkotunnukset. Tietoturva-auditoijat skannaavat päätepisteitä tunnistaakseen heikon protokollatuen, joka voisi altistaa palvelut downgrade-hyökkäyksille, kuten POODLElle tai BEASTille.
Tietomuodot, tyypit tai variantit
TLS-versiot vaihtelevat 1.0:sta (1999, vanhentunut) 1.1:een (2006, vanhentunut), 1.2:een (2008, laajasti tuettu) ja 1.3:een (2018, nopein ja turvallisin). Varmennetiedot sisältävät subjectin Common Name -kentän ja Subject Alternative Names (SANit), issuer-ketjun, RSA/ECDSA-avaintyypin ja -koon, allekirjoitusalgoritmin sekä not-before/not-after-voimassaoloaikaleimat. Tulokset osoittavat, onnistuiko kunkin protokollaversion kättely vai hylkäsikö palvelin sen.
Yleiset sudenkuopat ja reunatapaukset
CDN:t ja kuormantasaajat voivat esittää eri varmenteita tai TLS-määrityksiä kuin alkuperäpalvelin, joten testaa aina se todellinen päätepiste, johon käyttäjäsi muodostavat yhteyden. SNI (Server Name Indication) vaaditaan isännille, jotka palvelevat useita varmenteita yhdestä IP-osoitteesta — pelkällä IP-osoitteella testaaminen voi palauttaa väärän varmenteen. Osa palvelimista käyttää TLS-terminointivälityspalvelimia, joissa välityspalvelin tukee TLS 1.3:a mutta taustajärjestelmä puhuu vain 1.2:ta, mikä antaa harhaanjohtavan kuvan koko ketjun tietoturvatasosta.
Milloin käyttää tätä työkalua vs. koodia
Käytä tätä selainpohjaista työkalua nopeisiin ad hoc -tarkistuksiin yksittäisille päätepisteille häiriötilanteiden selvityksessä, varmenteen uusimisen varmistuksessa tai vaatimustenmukaisuuden pistokokeissa. TLS-määritysten jatkuvaan seurantaan monissa päätepisteissä käytä erillisiä työkaluja, kuten testssl.sh, sslyze tai pilvipohjaisia varmenteiden valvontapalveluja, jotka tarjoavat hälytykset, historiaseurannan ja automatisoidut skannausaikataulut.