DevToys Web Pro iconDevToys Web ProBlog
Értékeljen minket:
Próbáld ki a böngészőbővítményt:

TLS verzióellenőrző

Szerveroldali
Add meg fent a hosztnevet, majd kattints az Ellenőrzés gombra a TLS-konfiguráció megvizsgálásához.
Technikai részletek

Hogyan működik a TLS-ellenőrző

Mit csinál az eszköz

A TLS-ellenőrző egy hosztnév TLS-konfigurációját vizsgálja úgy, hogy minden protokollverzión (TLS 1.0, 1.1, 1.2 és 1.3) megpróbál kapcsolatot létesíteni, és jelenti, mely verziók támogatottak. Emellett lekéri a szerver X.509 tanúsítványának részleteit, beleértve a subjectet, az issuert, az érvényességi dátumokat, a SAN-okat és a kulcsméretet. Az ellenőrzés szerveroldali API-n keresztül fut, hogy elkerülje a böngésző biztonsági korlátozásait a nyers TLS socket-hozzáféréssel kapcsolatban.

Gyakori fejlesztői felhasználási esetek

A DevOps mérnökök TLS-ellenőrzőket használnak annak igazolására, hogy a kivezetett protokollok (TLS 1.0/1.1) konfigurációs változtatások után le vannak tiltva, biztosítva a PCI-DSS megfelelést. A fejlesztők tanúsítványlánc-problémákat hibakeresnek, megújítás előtt ellenőrzik a lejárati dátumokat, és megerősítik, hogy a wildcard vagy SAN tanúsítványok lefedik az összes szükséges aldomaint. A biztonsági auditorok végpontokat vizsgálnak, hogy azonosítsák a gyenge protokolltámogatást, amely downgrade támadásoknak, például a POODLE-nek vagy a BEAST-nek teheti ki a szolgáltatásokat.

Adatformátumok, típusok vagy változatok

A TLS-verziók az 1.0-tól (1999, kivezetett) az 1.1-en (2006, kivezetett) át az 1.2-ig (2008, széles körben támogatott) és az 1.3-ig (2018, a leggyorsabb és legbiztonságosabb) terjednek. A tanúsítványinformációk tartalmazzák a subject Common Name-jét és a Subject Alternative Name-eket (SAN-ok), az issuer láncot, az RSA/ECDSA kulcstípust és -méretet, az aláírási algoritmust, valamint a not-before/not-after érvényességi időbélyegeket. Az eredmények jelzik, hogy az egyes protokollverziók kézfogása sikerült-e, vagy a szerver elutasította.

Gyakori buktatók és szélső esetek

A CDN-ek és a terheléselosztók eltérő tanúsítványokat vagy TLS-konfigurációkat mutathatnak, mint az origin szerver, ezért mindig azt a tényleges végpontot tesztelje, amelyhez a felhasználói csatlakoznak. Az SNI (Server Name Indication) szükséges azoknál a hosztoknál, amelyek egy IP-n több tanúsítványt szolgálnak ki — pusztán IP-cím alapján tesztelve rossz tanúsítványt kaphat. Egyes szerverek TLS-terminációs proxykat használnak, ahol a proxy támogatja a TLS 1.3-at, de a backend csak 1.2-t beszél, ami félrevezető képet adhat a teljes lánc biztonsági állapotáról.

Mikor érdemes ezt az eszközt használni a kód helyett

Használja ezt a böngészős eszközt gyors, ad hoc ellenőrzésekhez egyedi végpontokon incidenskezelés közben, tanúsítványmegújítás ellenőrzéséhez vagy megfelelőségi szúrópróbákhoz. Sok végpont TLS-konfigurációjának folyamatos monitorozásához használjon dedikált eszközöket, például a testssl.sh-t, az sslyze-t, vagy felhőalapú tanúsítvány-monitoring szolgáltatásokat, amelyek riasztást, előzménykövetést és automatizált szkennelési ütemezést biztosítanak.