DevToys Web Pro iconDevToys Web ProBlog
Ocijenite nas:
Isprobajte proširenje preglednika:

Provjera TLS verzije

Na poslužitelju
Unesite naziv hosta iznad i kliknite Provjeri kako biste pregledali njegovu TLS konfiguraciju.
Tehnički detalji

Kako radi TLS provjerivač

Što alat radi

TLS provjerivač ispituje TLS konfiguraciju naziva hosta pokušavajući uspostaviti veze za svaku verziju protokola (TLS 1.0, 1.1, 1.2 i 1.3) te izvještava koje su verzije podržane. Također dohvaća detalje X.509 certifikata poslužitelja, uključujući subjekt, izdavatelja, datume valjanosti, SAN-ove i veličinu ključa. Provjera se izvodi putem API-ja na strani poslužitelja kako bi se izbjegla sigurnosna ograničenja preglednika pri pristupu sirovim TLS socketima.

Uobičajeni slučajevi upotrebe za razvojne programere

DevOps inženjeri koriste TLS provjerivače kako bi potvrdili da su zastarjeli protokoli (TLS 1.0/1.1) onemogućeni nakon promjena konfiguracije, čime se osigurava usklađenost s PCI-DSS-om. Programeri otklanjaju probleme s lancem certifikata, provjeravaju datume isteka prije obnove i potvrđuju da wildcard ili SAN certifikati pokrivaju sve potrebne poddomene. Sigurnosni revizori skeniraju krajnje točke kako bi identificirali slabu podršku protokola koja bi mogla izložiti usluge napadima snižavanja razine sigurnosti poput POODLE-a ili BEAST-a.

Formati podataka, vrste ili varijante

TLS verzije kreću se od 1.0 (1999., zastarjelo) preko 1.1 (2006., zastarjelo) do 1.2 (2008., široko podržano) i 1.3 (2018., najbrže i najsigurnije). Informacije o certifikatu uključuju Common Name subjekta i Subject Alternative Names (SAN-ove), lanac izdavatelja, tip i veličinu RSA/ECDSA ključa, algoritam potpisa te vremenske oznake valjanosti not-before/not-after. Rezultati pokazuju je li rukovanje (handshake) za svaku verziju protokola uspjelo ili ga je poslužitelj odbio.

Uobičajene zamke i rubni slučajevi

CDN-ovi i load balanceri mogu prikazivati drugačije certifikate ili TLS konfiguracije od izvornog poslužitelja, stoga uvijek testirajte stvarnu krajnju točku na koju se vaši korisnici spajaju. SNI (Server Name Indication) je potreban za hostove koji poslužuju više certifikata na jednoj IP adresi — testiranje samo po IP adresi može vratiti pogrešan certifikat. Neki poslužitelji koriste proxyje za TLS terminaciju gdje proxy podržava TLS 1.3, ali backend govori samo 1.2, što daje zavaravajući dojam o sigurnosnom stanju cijelog lanca.

Kada koristiti ovaj alat umjesto koda

Koristite ovaj alat u pregledniku za brze ad-hoc provjere pojedinačnih krajnjih točaka tijekom odgovora na incident, provjere obnove certifikata ili povremenih provjera usklađenosti. Za kontinuirano praćenje TLS konfiguracija na mnogim krajnjim točkama koristite namjenske alate poput testssl.sh, sslyze ili usluge nadzora certifikata u oblaku koje nude upozorenja, povijesno praćenje i automatizirane rasporede skeniranja.