Pemeriksa Versi TLS
Butiran teknikal
Cara Pemeriksa TLS Berfungsi
Apa yang Alat Ini Lakukan
Pemeriksa TLS menguji konfigurasi TLS sesuatu nama hos dengan cuba membuat sambungan pada setiap versi protokol (TLS 1.0, 1.1, 1.2, dan 1.3) dan melaporkan versi yang disokong. Ia juga mendapatkan butiran sijil X.509 pelayan termasuk subjek, pengeluar, tarikh kesahan, SAN, dan saiz kunci. Pemeriksaan dijalankan melalui API sisi pelayan untuk mengelakkan sekatan keselamatan pelayar terhadap akses soket TLS mentah.
Kes Penggunaan Pembangun yang Lazim
Jurutera DevOps menggunakan pemeriksa TLS untuk mengesahkan bahawa protokol yang telah ditamatkan (TLS 1.0/1.1) dinyahdayakan selepas perubahan konfigurasi, bagi memastikan pematuhan PCI-DSS. Pembangun menyahpepijat isu rantaian sijil, menyemak tarikh luput sebelum pembaharuan, dan mengesahkan bahawa sijil wildcard atau SAN meliputi semua subdomain yang diperlukan. Juruaudit keselamatan mengimbas titik akhir untuk mengenal pasti sokongan protokol yang lemah yang boleh mendedahkan perkhidmatan kepada serangan penurunan taraf seperti POODLE atau BEAST.
Format Data, Jenis, atau Varian
Versi TLS merangkumi 1.0 (1999, ditamatkan) hingga 1.1 (2006, ditamatkan) ke 1.2 (2008, disokong meluas) dan 1.3 (2018, paling pantas dan paling selamat). Maklumat sijil termasuk Common Name subjek dan Subject Alternative Names (SAN), rantaian pengeluar, jenis dan saiz kunci RSA/ECDSA, algoritma tandatangan, serta cap masa kesahan not-before/not-after. Keputusan menunjukkan sama ada jabat tangan bagi setiap versi protokol berjaya atau ditolak oleh pelayan.
Perangkap Lazim dan Kes Tepi
CDN dan pengimbang beban mungkin memaparkan sijil atau konfigurasi TLS yang berbeza daripada pelayan asal, jadi sentiasa uji titik akhir sebenar yang disambungkan oleh pengguna anda. SNI (Server Name Indication) diperlukan untuk hos yang menyajikan berbilang sijil pada satu IP — pengujian berdasarkan alamat IP sahaja mungkin mengembalikan sijil yang salah. Sesetengah pelayan menggunakan proksi penamatan TLS di mana proksi menyokong TLS 1.3 tetapi bahagian belakang hanya menggunakan 1.2, lalu memberikan gambaran yang mengelirukan tentang tahap keselamatan keseluruhan rantaian.
Bila Perlu Menggunakan Alat Ini Berbanding Kod
Gunakan alat pelayar ini untuk semakan ad-hoc pantas bagi titik akhir individu semasa respons insiden, pengesahan pembaharuan sijil, atau semakan pematuhan secara spot-check. Untuk pemantauan berterusan konfigurasi TLS merentas banyak titik akhir, gunakan alat khusus seperti testssl.sh, sslyze, atau perkhidmatan pemantauan sijil berasaskan awan yang menyediakan amaran, penjejakan sejarah, dan jadual pengimbasan automatik.