DevToys Web Pro iconDevToys Web ProTinklaraštis
Įvertinkite mus:
Išbandykite naršyklės plėtinį:

TLS versijos tikrintuvas

Serverio pusėje
Viršuje įveskite pagrindinio kompiuterio vardą ir spustelėkite „Tikrinti“, kad patikrintumėte jo TLS konfigūraciją.
Techninė informacija

Kaip veikia TLS tikrintuvas

Ką daro įrankis

TLS tikrintuvas patikrina pagrindinio kompiuterio vardo TLS konfigūraciją bandydamas prisijungti prie kiekvienos protokolo versijos (TLS 1.0, 1.1, 1.2 ir 1.3) ir praneša, kurios versijos palaikomos. Jis taip pat surenka serverio X.509 sertifikato informaciją, įskaitant subjektą, išdavėją, galiojimo datas, SAN ir rakto dydį. Patikra vykdoma per serverio pusės API, kad būtų išvengta naršyklės saugumo apribojimų, taikomų tiesioginei prieigai prie neapdorotų TLS lizdų.

Dažniausi kūrėjų naudojimo atvejai

DevOps inžinieriai naudoja TLS tikrintuvus, kad po konfigūracijos pakeitimų patvirtintų, jog pasenę protokolai (TLS 1.0/1.1) yra išjungti, taip užtikrindami PCI-DSS atitiktį. Programuotojai derina sertifikatų grandinės problemas, tikrina galiojimo pabaigos datas prieš atnaujinimus ir patvirtina, kad „wildcard“ arba SAN sertifikatai apima visus reikalingus subdomenus. Saugumo auditoriai skenuoja galinius taškus, kad nustatytų silpną protokolų palaikymą, kuris galėtų atverti paslaugas versijos sumažinimo atakoms, tokioms kaip POODLE ar BEAST.

Duomenų formatai, tipai arba variantai

TLS versijos apima nuo 1.0 (1999, pasenusi) per 1.1 (2006, pasenusi) iki 1.2 (2008, plačiai palaikoma) ir 1.3 (2018, greičiausia ir saugiausia). Sertifikato informacija apima subjekto bendrąjį vardą (Common Name) ir subjekto alternatyvius vardus (SAN), išdavėjo grandinę, RSA/ECDSA rakto tipą ir dydį, parašo algoritmą bei galiojimo laiko žymas not-before/not-after. Rezultatai nurodo, ar kiekvienos protokolo versijos „handshake“ pavyko, ar serveris jį atmetė.

Dažniausios klaidos ir kraštiniai atvejai

CDN ir apkrovos balansavimo įrenginiai gali pateikti kitokius sertifikatus ar TLS konfigūracijas nei kilmės serveris, todėl visada testuokite tikrąjį galinį tašką, prie kurio jungiasi jūsų naudotojai. SNI (Server Name Indication) yra būtinas hostams, kurie viename IP aptarnauja kelis sertifikatus — testuojant vien IP adresu galima gauti neteisingą sertifikatą. Kai kurie serveriai naudoja TLS terminavimo tarpininkus, kai tarpininkas palaiko TLS 1.3, o galinė sistema kalba tik 1.2, todėl susidaro klaidinantis įspūdis apie visos grandinės saugumo būklę.

Kada naudoti šį įrankį, o kada kodą

Naudokite šį naršyklės įrankį greitiems ad hoc atskirų galinių taškų patikrinimams incidentų valdymo metu, sertifikatų atnaujinimo patvirtinimui ar atitikties momentinėms patikroms. Nuolatiniam TLS konfigūracijų stebėjimui daugelyje galinių taškų naudokite specializuotus įrankius, tokius kaip testssl.sh, sslyze, arba debesijos sertifikatų stebėjimo paslaugas, kurios teikia įspėjimus, istorijos sekimą ir automatizuotus skenavimo grafikus.