DevToys Web Pro iconDevToys Web ProBlogs
Novērtējiet mūs:
Izmēģiniet pārlūkprogrammas paplašinājumu:

TLS versijas pārbaudītājs

Servera pusē
Ievadiet augstāk resursdatora nosaukumu un noklikšķiniet uz Pārbaudīt, lai pārskatītu tā TLS konfigurāciju.
Tehniskā informācija

Kā darbojas TLS pārbaudītājs

Ko rīks dara

TLS pārbaudītājs pārbauda resursdatora nosaukuma TLS konfigurāciju, mēģinot izveidot savienojumus ar katru protokola versiju (TLS 1.0, 1.1, 1.2 un 1.3), un ziņo, kuras versijas tiek atbalstītas. Tas arī iegūst servera X.509 sertifikāta informāciju, tostarp subjektu, izdevēju, derīguma datumus, SAN un atslēgas izmēru. Pārbaude tiek veikta, izmantojot servera puses API, lai apietu pārlūkprogrammas drošības ierobežojumus attiecībā uz tiešu TLS ligzdu piekļuvi.

Biežākie izstrādātāju lietošanas gadījumi

DevOps inženieri izmanto TLS pārbaudītājus, lai pēc konfigurācijas izmaiņām pārliecinātos, ka novecojušie protokoli (TLS 1.0/1.1) ir atspējoti, nodrošinot atbilstību PCI-DSS. Izstrādātāji atkļūdo sertifikātu ķēdes problēmas, pārbauda derīguma termiņus pirms atjaunošanas un apstiprina, ka aizstājējzīmju (wildcard) vai SAN sertifikāti aptver visus nepieciešamos apakšdomēnus. Drošības auditori skenē galapunktus, lai identificētu vāju protokolu atbalstu, kas varētu pakalpojumus pakļaut pazemināšanas (downgrade) uzbrukumiem, piemēram, POODLE vai BEAST.

Datu formāti, tipi vai varianti

TLS versijas svārstās no 1.0 (1999, novecojusi) un 1.1 (2006, novecojusi) līdz 1.2 (2008, plaši atbalstīta) un 1.3 (2018, ātrākā un drošākā). Sertifikāta informācija ietver subjekta Common Name un Subject Alternative Names (SAN), izdevēju ķēdi, RSA/ECDSA atslēgas tipu un izmēru, paraksta algoritmu, kā arī not-before/not-after derīguma laika zīmogus. Rezultāti norāda, vai katras protokola versijas rokasspiediens (handshake) izdevās vai serveris to noraidīja.

Biežākās kļūdas un robežgadījumi

CDN un slodzes balansētāji var rādīt citus sertifikātus vai TLS konfigurācijas nekā izcelsmes serveris, tāpēc vienmēr testējiet faktisko galapunktu, kuram pieslēdzas jūsu lietotāji. SNI (Server Name Indication) ir nepieciešams resursdatoriem, kas vienā IP apkalpo vairākus sertifikātus — testēšana tikai pēc IP adreses var atgriezt nepareizo sertifikātu. Daži serveri izmanto TLS terminēšanas starpniekserverus, kuros starpniekserveris atbalsta TLS 1.3, bet aizmugursistēma runā tikai 1.2, radot maldinošu priekšstatu par visas ķēdes drošības stāvokli.

Kad izmantot šo rīku, nevis kodu

Izmantojiet šo pārlūkprogrammas rīku ātrām ad-hoc pārbaudēm atsevišķiem galapunktiem incidentu reaģēšanas laikā, sertifikātu atjaunošanas verifikācijai vai atbilstības punktveida pārbaudēm. Nepārtrauktai TLS konfigurāciju uzraudzībai daudzos galapunktos izmantojiet specializētus rīkus, piemēram, testssl.sh, sslyze, vai mākoņbalstītus sertifikātu uzraudzības pakalpojumus, kas nodrošina brīdinājumus, vēsturisko izsekošanu un automatizētus skenēšanas grafikus.