DevToys Web Pro iconDevToys Web ProBlog
Valutaci:
Prova l'estensione del browser:

Verifica versione TLS

Lato server
Inserisci un nome host qui sopra e fai clic su Verifica per ispezionarne la configurazione TLS.
Dettagli tecnici

Come funziona il TLS Checker

Cosa fa lo strumento

Il TLS Checker analizza la configurazione TLS di un hostname tentando connessioni per ciascuna versione del protocollo (TLS 1.0, 1.1, 1.2 e 1.3) e segnala quali versioni sono supportate. Recupera inoltre i dettagli del certificato X.509 del server, inclusi soggetto, emittente, date di validità, SAN e dimensione della chiave. Il controllo viene eseguito tramite un'API lato server per evitare le restrizioni di sicurezza del browser sull'accesso diretto ai socket TLS.

Casi d’uso comuni per sviluppatori

Gli ingegneri DevOps usano i TLS checker per verificare che i protocolli deprecati (TLS 1.0/1.1) siano disabilitati dopo modifiche di configurazione, garantendo la conformità PCI-DSS. Gli sviluppatori risolvono problemi della catena di certificati, controllano le date di scadenza prima dei rinnovi e confermano che i certificati wildcard o SAN coprano tutti i sottodomini richiesti. I revisori della sicurezza scansionano gli endpoint per identificare un supporto debole dei protocolli che potrebbe esporre i servizi ad attacchi di downgrade come POODLE o BEAST.

Formati, tipi o varianti dei dati

Le versioni TLS vanno dalla 1.0 (1999, deprecata) passando per la 1.1 (2006, deprecata) fino alla 1.2 (2008, ampiamente supportata) e alla 1.3 (2018, la più veloce e sicura). Le informazioni sul certificato includono il Common Name del soggetto e i Subject Alternative Names (SAN), la catena dell'emittente, tipo e dimensione della chiave RSA/ECDSA, algoritmo di firma e timestamp di validità not-before/not-after. I risultati indicano se l'handshake di ciascuna versione del protocollo è riuscito o è stato rifiutato dal server.

Errori comuni e casi limite

CDN e load balancer possono presentare certificati o configurazioni TLS diversi rispetto al server di origine, quindi testa sempre l'endpoint effettivo a cui si connettono i tuoi utenti. SNI (Server Name Indication) è necessario per host che servono più certificati su un unico IP — testare solo tramite indirizzo IP può restituire il certificato sbagliato. Alcuni server usano proxy di terminazione TLS in cui il proxy supporta TLS 1.3 ma il backend parla solo 1.2, dando un'impressione fuorviante della postura di sicurezza dell'intera catena.

Quando usare questo strumento rispetto al codice

Usa questo strumento nel browser per controlli rapidi ad hoc di singoli endpoint durante la risposta agli incidenti, la verifica dei rinnovi dei certificati o controlli spot di conformità. Per il monitoraggio continuo delle configurazioni TLS su molti endpoint, usa strumenti dedicati come testssl.sh, sslyze o servizi cloud di monitoraggio dei certificati che offrono avvisi, tracciamento storico e pianificazioni di scansione automatizzate.