TLSバージョンチェッカー
技術的な詳細
TLSチェッカーの仕組み
このツールでできること
TLSチェッカーは、各プロトコルバージョン(TLS 1.0、1.1、1.2、1.3)で接続を試みることでホスト名のTLS設定を検査し、どのバージョンがサポートされているかを報告します。さらに、サブジェクト、発行者、有効期間、SAN、鍵長などを含むサーバーのX.509証明書の詳細も取得します。このチェックは、生のTLSソケットへのアクセスに関するブラウザのセキュリティ制限を回避するため、サーバーサイドAPI経由で実行されます。
開発者によくある利用シーン
DevOpsエンジニアは、設定変更後に非推奨プロトコル(TLS 1.0/1.1)が無効化されていることを確認し、PCI-DSS準拠を確保するためにTLSチェッカーを使用します。開発者は証明書チェーンの問題をデバッグし、更新前に有効期限を確認し、ワイルドカード証明書やSAN証明書が必要なすべてのサブドメインをカバーしていることを確認します。セキュリティ監査担当者はエンドポイントをスキャンして、POODLEやBEASTのようなダウングレード攻撃にサービスがさらされ得る弱いプロトコル対応を特定します。
データ形式、型、またはバリエーション
TLSのバージョンは、1.0(1999年、非推奨)から1.1(2006年、非推奨)を経て、1.2(2008年、広くサポート)および1.3(2018年、最速かつ最も安全)まであります。証明書情報には、サブジェクトのCommon NameとSubject Alternative Names(SAN)、発行者チェーン、RSA/ECDSAの鍵種別と鍵長、署名アルゴリズム、not-before/not-afterの有効性タイムスタンプが含まれます。結果は、各プロトコルバージョンのハンドシェイクが成功したか、サーバーに拒否されたかを示します。
よくある落とし穴とエッジケース
CDNやロードバランサーは、オリジンサーバーとは異なる証明書やTLS設定を提示する場合があるため、ユーザーが実際に接続するエンドポイントを必ずテストしてください。1つのIPで複数の証明書を提供するホストではSNI(Server Name Indication)が必要です。IPアドレスだけでテストすると、誤った証明書が返ることがあります。一部のサーバーはTLS終端プロキシを使用しており、プロキシはTLS 1.3をサポートしていてもバックエンドは1.2しか話さない場合があり、チェーン全体のセキュリティ状況について誤解を招く印象を与えることがあります。
コードではなくこのツールを使うべき場面
インシデント対応中の個別エンドポイントの迅速なアドホック確認、証明書更新の検証、またはコンプライアンスのスポットチェックには、このブラウザツールを使用してください。多数のエンドポイントにわたるTLS設定を継続的に監視するには、testssl.sh、sslyze、またはアラート、履歴追跡、自動スキャンスケジュールを提供するクラウド型の証明書監視サービスなどの専用ツールを使用してください。