TLS versijas pārbaudītājs
Tehniskā informācija
Kā darbojas TLS pārbaudītājs
Ko rīks dara
TLS pārbaudītājs pārbauda resursdatora nosaukuma TLS konfigurāciju, mēģinot izveidot savienojumus ar katru protokola versiju (TLS 1.0, 1.1, 1.2 un 1.3), un ziņo, kuras versijas tiek atbalstītas. Tas arī iegūst servera X.509 sertifikāta informāciju, tostarp subjektu, izdevēju, derīguma datumus, SAN un atslēgas izmēru. Pārbaude tiek veikta, izmantojot servera puses API, lai apietu pārlūkprogrammas drošības ierobežojumus attiecībā uz tiešu TLS ligzdu piekļuvi.
Biežākie izstrādātāju lietošanas gadījumi
DevOps inženieri izmanto TLS pārbaudītājus, lai pēc konfigurācijas izmaiņām pārliecinātos, ka novecojušie protokoli (TLS 1.0/1.1) ir atspējoti, nodrošinot atbilstību PCI-DSS. Izstrādātāji atkļūdo sertifikātu ķēdes problēmas, pārbauda derīguma termiņus pirms atjaunošanas un apstiprina, ka aizstājējzīmju (wildcard) vai SAN sertifikāti aptver visus nepieciešamos apakšdomēnus. Drošības auditori skenē galapunktus, lai identificētu vāju protokolu atbalstu, kas varētu pakalpojumus pakļaut pazemināšanas (downgrade) uzbrukumiem, piemēram, POODLE vai BEAST.
Datu formāti, tipi vai varianti
TLS versijas svārstās no 1.0 (1999, novecojusi) un 1.1 (2006, novecojusi) līdz 1.2 (2008, plaši atbalstīta) un 1.3 (2018, ātrākā un drošākā). Sertifikāta informācija ietver subjekta Common Name un Subject Alternative Names (SAN), izdevēju ķēdi, RSA/ECDSA atslēgas tipu un izmēru, paraksta algoritmu, kā arī not-before/not-after derīguma laika zīmogus. Rezultāti norāda, vai katras protokola versijas rokasspiediens (handshake) izdevās vai serveris to noraidīja.
Biežākās kļūdas un robežgadījumi
CDN un slodzes balansētāji var rādīt citus sertifikātus vai TLS konfigurācijas nekā izcelsmes serveris, tāpēc vienmēr testējiet faktisko galapunktu, kuram pieslēdzas jūsu lietotāji. SNI (Server Name Indication) ir nepieciešams resursdatoriem, kas vienā IP apkalpo vairākus sertifikātus — testēšana tikai pēc IP adreses var atgriezt nepareizo sertifikātu. Daži serveri izmanto TLS terminēšanas starpniekserverus, kuros starpniekserveris atbalsta TLS 1.3, bet aizmugursistēma runā tikai 1.2, radot maldinošu priekšstatu par visas ķēdes drošības stāvokli.
Kad izmantot šo rīku, nevis kodu
Izmantojiet šo pārlūkprogrammas rīku ātrām ad-hoc pārbaudēm atsevišķiem galapunktiem incidentu reaģēšanas laikā, sertifikātu atjaunošanas verifikācijai vai atbilstības punktveida pārbaudēm. Nepārtrauktai TLS konfigurāciju uzraudzībai daudzos galapunktos izmantojiet specializētus rīkus, piemēram, testssl.sh, sslyze, vai mākoņbalstītus sertifikātu uzraudzības pakalpojumus, kas nodrošina brīdinājumus, vēsturisko izsekošanu un automatizētus skenēšanas grafikus.