DevToys Web Pro iconDevToys Web ProBlog
Ohodnoťte nás:
Vyskúšajte rozšírenie prehliadača:

Kontrola verzie TLS

Na strane servera
Zadajte vyššie názov hostiteľa a kliknite na Skontrolovať, aby ste skontrolovali jeho konfiguráciu TLS.
Technické podrobnosti

Ako funguje kontrola TLS

Čo nástroj robí

Kontrola TLS preveruje konfiguráciu TLS pre daný hostname tým, že sa pokúša nadviazať spojenie pre každú verziu protokolu (TLS 1.0, 1.1, 1.2 a 1.3) a hlási, ktoré verzie sú podporované. Zároveň načíta podrobnosti o serverovom certifikáte X.509 vrátane subjektu, vydavateľa, dátumov platnosti, SAN a veľkosti kľúča. Kontrola prebieha cez serverové API, aby sa obišli bezpečnostné obmedzenia prehliadača pri priamom prístupe k surovým TLS socketom.

Bežné prípady použitia pre vývojárov

DevOps inžinieri používajú kontroly TLS na overenie, že zastarané protokoly (TLS 1.0/1.1) sú po zmenách konfigurácie vypnuté, čím sa zabezpečí súlad s PCI-DSS. Vývojári riešia problémy s reťazcom certifikátov, kontrolujú dátumy expirácie pred obnovou a potvrdzujú, že wildcard alebo SAN certifikáty pokrývajú všetky potrebné subdomény. Bezpečnostní audítori skenujú endpointy, aby identifikovali slabú podporu protokolov, ktorá by mohla vystaviť služby downgrade útokom ako POODLE alebo BEAST.

Dátové formáty, typy alebo varianty

Verzie TLS siahajú od 1.0 (1999, zastarané) cez 1.1 (2006, zastarané) po 1.2 (2008, široko podporované) a 1.3 (2018, najrýchlejšie a najbezpečnejšie). Informácie o certifikáte zahŕňajú Common Name subjektu a Subject Alternative Names (SAN), reťazec vydavateľov, typ a veľkosť kľúča RSA/ECDSA, podpisový algoritmus a časové pečiatky platnosti not-before/not-after. Výsledky ukazujú, či handshake pre každú verziu protokolu uspel alebo bol serverom odmietnutý.

Bežné úskalia a okrajové prípady

CDN a load balancery môžu prezentovať iné certifikáty alebo konfigurácie TLS než origin server, preto vždy testujte skutočný endpoint, ku ktorému sa pripájajú vaši používatelia. SNI (Server Name Indication) je potrebné pre hosty, ktoré na jednej IP obsluhujú viac certifikátov — testovanie iba podľa IP adresy môže vrátiť nesprávny certifikát. Niektoré servery používajú proxy na TLS termináciu, kde proxy podporuje TLS 1.3, ale backend komunikuje iba cez 1.2, čo môže vytvoriť zavádzajúci dojem o bezpečnostnom stave celého reťazca.

Kedy použiť tento nástroj vs. kód

Tento nástroj v prehliadači použite na rýchle ad-hoc kontroly jednotlivých endpointov počas riešenia incidentov, overovania obnovy certifikátov alebo priebežných kontrol súladu. Na kontinuálne monitorovanie konfigurácií TLS naprieč mnohými endpointmi použite špecializované nástroje ako testssl.sh, sslyze alebo cloudové služby monitorovania certifikátov, ktoré poskytujú upozornenia, historické sledovanie a automatizované harmonogramy skenovania.