TLS-versiechecker
Technische details
Hoe de TLS-checker werkt
Wat de tool doet
De TLS-checker onderzoekt de TLS-configuratie van een hostnaam door verbindingen te proberen op elke protocolversie (TLS 1.0, 1.1, 1.2 en 1.3) en rapporteert welke versies worden ondersteund. Ook haalt hij de X.509-certificaatdetails van de server op, waaronder subject, issuer, geldigheidsdatums, SAN's en sleutelgrootte. De controle draait via een server-side API om browserbeveiligingsbeperkingen op directe TLS-sockettoegang te omzeilen.
Veelvoorkomende use-cases voor ontwikkelaars
DevOps-engineers gebruiken TLS-checkers om te verifiëren dat verouderde protocollen (TLS 1.0/1.1) na configuratiewijzigingen zijn uitgeschakeld, zodat PCI-DSS-compliance is gewaarborgd. Ontwikkelaars debuggen problemen met de certificaatketen, controleren vervaldatums vóór verlengingen en bevestigen dat wildcard- of SAN-certificaten alle vereiste subdomeinen dekken. Security-auditors scannen endpoints om zwakke protocolondersteuning te identificeren die diensten kan blootstellen aan downgrade-aanvallen zoals POODLE of BEAST.
Gegevensformaten, typen of varianten
TLS-versies lopen van 1.0 (1999, verouderd) via 1.1 (2006, verouderd) naar 1.2 (2008, breed ondersteund) en 1.3 (2018, het snelst en het meest veilig). De certificaatinformatie omvat de subject Common Name en Subject Alternative Names (SAN's), issuer-keten, RSA/ECDSA-sleuteltype en -grootte, handtekeningalgoritme en not-before/not-after-geldigheidstijdstempels. Resultaten geven aan of de handshake voor elke protocolversie is geslaagd of door de server is geweigerd.
Veelvoorkomende valkuilen en edge-cases
CDN's en load balancers kunnen andere certificaten of TLS-configuraties presenteren dan de origin-server, dus test altijd het daadwerkelijke endpoint waarmee je gebruikers verbinding maken. SNI (Server Name Indication) is vereist voor hosts die meerdere certificaten op één IP aanbieden — testen op alleen het IP-adres kan het verkeerde certificaat opleveren. Sommige servers gebruiken TLS-terminatieproxies waarbij de proxy TLS 1.3 ondersteunt maar de backend alleen 1.2 spreekt, wat een misleidende indruk kan geven van de security posture van de volledige keten.
Wanneer je deze tool gebruikt vs code
Gebruik deze browsertool voor snelle ad-hoccontroles van individuele endpoints tijdens incident response, verificatie van certificaatverlenging of compliance-spotchecks. Voor continue monitoring van TLS-configuraties over veel endpoints heen gebruik je dedicated tools zoals testssl.sh, sslyze of cloudgebaseerde certificaatmonitoringdiensten die alerts, historische tracking en geautomatiseerde scanschema's bieden.