Provjera TLS verzije
Tehnički detalji
Kako radi TLS provjerivač
Što alat radi
TLS provjerivač ispituje TLS konfiguraciju naziva hosta pokušavajući uspostaviti veze za svaku verziju protokola (TLS 1.0, 1.1, 1.2 i 1.3) te izvještava koje su verzije podržane. Također dohvaća detalje X.509 certifikata poslužitelja, uključujući subjekt, izdavatelja, datume valjanosti, SAN-ove i veličinu ključa. Provjera se izvodi putem API-ja na strani poslužitelja kako bi se izbjegla sigurnosna ograničenja preglednika pri pristupu sirovim TLS socketima.
Uobičajeni slučajevi upotrebe za razvojne programere
DevOps inženjeri koriste TLS provjerivače kako bi potvrdili da su zastarjeli protokoli (TLS 1.0/1.1) onemogućeni nakon promjena konfiguracije, čime se osigurava usklađenost s PCI-DSS-om. Programeri otklanjaju probleme s lancem certifikata, provjeravaju datume isteka prije obnove i potvrđuju da wildcard ili SAN certifikati pokrivaju sve potrebne poddomene. Sigurnosni revizori skeniraju krajnje točke kako bi identificirali slabu podršku protokola koja bi mogla izložiti usluge napadima snižavanja razine sigurnosti poput POODLE-a ili BEAST-a.
Formati podataka, vrste ili varijante
TLS verzije kreću se od 1.0 (1999., zastarjelo) preko 1.1 (2006., zastarjelo) do 1.2 (2008., široko podržano) i 1.3 (2018., najbrže i najsigurnije). Informacije o certifikatu uključuju Common Name subjekta i Subject Alternative Names (SAN-ove), lanac izdavatelja, tip i veličinu RSA/ECDSA ključa, algoritam potpisa te vremenske oznake valjanosti not-before/not-after. Rezultati pokazuju je li rukovanje (handshake) za svaku verziju protokola uspjelo ili ga je poslužitelj odbio.
Uobičajene zamke i rubni slučajevi
CDN-ovi i load balanceri mogu prikazivati drugačije certifikate ili TLS konfiguracije od izvornog poslužitelja, stoga uvijek testirajte stvarnu krajnju točku na koju se vaši korisnici spajaju. SNI (Server Name Indication) je potreban za hostove koji poslužuju više certifikata na jednoj IP adresi — testiranje samo po IP adresi može vratiti pogrešan certifikat. Neki poslužitelji koriste proxyje za TLS terminaciju gdje proxy podržava TLS 1.3, ali backend govori samo 1.2, što daje zavaravajući dojam o sigurnosnom stanju cijelog lanca.
Kada koristiti ovaj alat umjesto koda
Koristite ovaj alat u pregledniku za brze ad-hoc provjere pojedinačnih krajnjih točaka tijekom odgovora na incident, provjere obnove certifikata ili povremenih provjera usklađenosti. Za kontinuirano praćenje TLS konfiguracija na mnogim krajnjim točkama koristite namjenske alate poput testssl.sh, sslyze ili usluge nadzora certifikata u oblaku koje nude upozorenja, povijesno praćenje i automatizirane rasporede skeniranja.