Sjekk av TLS-versjon
Tekniske detaljer
Slik fungerer TLS-sjekkeren
Hva verktøyet gjør
TLS-sjekkeren sonderer en vertsnavns TLS-konfigurasjon ved å forsøke tilkoblinger på hver protokollversjon (TLS 1.0, 1.1, 1.2 og 1.3) og rapporterer hvilke versjoner som støttes. Den henter også detaljer om serverens X.509-sertifikat, inkludert subject, issuer, gyldighetsdatoer, SAN-er og nøkkelstørrelse. Sjekken kjøres via et API på serversiden for å unngå nettleserens sikkerhetsbegrensninger for direkte tilgang til rå TLS-sokler.
Vanlige bruksområder for utviklere
DevOps-ingeniører bruker TLS-sjekkere for å verifisere at utdaterte protokoller (TLS 1.0/1.1) er deaktivert etter konfigurasjonsendringer, og dermed sikre PCI-DSS-samsvar. Utviklere feilsøker problemer i sertifikatkjeden, sjekker utløpsdatoer før fornyelser og bekrefter at wildcard- eller SAN-sertifikater dekker alle nødvendige underdomener. Sikkerhetsrevisorer skanner endepunkter for å identifisere svak protokollstøtte som kan eksponere tjenester for nedgraderingsangrep som POODLE eller BEAST.
Dataformater, typer eller varianter
TLS-versjoner spenner fra 1.0 (1999, avviklet) via 1.1 (2006, avviklet) til 1.2 (2008, bredt støttet) og 1.3 (2018, raskest og mest sikker). Sertifikatinformasjonen inkluderer subject Common Name og Subject Alternative Names (SAN-er), issuer-kjede, RSA/ECDSA-nøkkeltype og -størrelse, signaturalgoritme og not-before/not-after-gyldighetstidsstempler. Resultatene indikerer om håndtrykket for hver protokollversjon lyktes eller ble avvist av serveren.
Vanlige fallgruver og kanttilfeller
CDN-er og lastbalanserere kan presentere andre sertifikater eller TLS-konfigurasjoner enn opprinnelsesserveren, så test alltid det faktiske endepunktet brukerne dine kobler til. SNI (Server Name Indication) er påkrevd for verter som serverer flere sertifikater på én IP — testing kun med IP-adresse kan returnere feil sertifikat. Noen servere bruker TLS-termineringsproxyer der proxyen støtter TLS 1.3, men backend kun snakker 1.2, noe som kan gi et misvisende inntrykk av sikkerhetsnivået i hele kjeden.
Når du bør bruke dette verktøyet vs. kode
Bruk dette nettleserverktøyet for raske ad-hoc-sjekker av enkeltendepunkter under hendelseshåndtering, verifisering av sertifikatfornyelse eller punktvise samsvarskontroller. For kontinuerlig overvåking av TLS-konfigurasjoner på tvers av mange endepunkter, bruk dedikerte verktøy som testssl.sh, sslyze eller skybaserte sertifikatovervåkingstjenester som tilbyr varsling, historisk sporing og automatiserte skanneplaner.