Kontrola verzie TLS
Technické podrobnosti
Ako funguje kontrola TLS
Čo nástroj robí
Kontrola TLS preveruje konfiguráciu TLS pre daný hostname tým, že sa pokúša nadviazať spojenie pre každú verziu protokolu (TLS 1.0, 1.1, 1.2 a 1.3) a hlási, ktoré verzie sú podporované. Zároveň načíta podrobnosti o serverovom certifikáte X.509 vrátane subjektu, vydavateľa, dátumov platnosti, SAN a veľkosti kľúča. Kontrola prebieha cez serverové API, aby sa obišli bezpečnostné obmedzenia prehliadača pri priamom prístupe k surovým TLS socketom.
Bežné prípady použitia pre vývojárov
DevOps inžinieri používajú kontroly TLS na overenie, že zastarané protokoly (TLS 1.0/1.1) sú po zmenách konfigurácie vypnuté, čím sa zabezpečí súlad s PCI-DSS. Vývojári riešia problémy s reťazcom certifikátov, kontrolujú dátumy expirácie pred obnovou a potvrdzujú, že wildcard alebo SAN certifikáty pokrývajú všetky potrebné subdomény. Bezpečnostní audítori skenujú endpointy, aby identifikovali slabú podporu protokolov, ktorá by mohla vystaviť služby downgrade útokom ako POODLE alebo BEAST.
Dátové formáty, typy alebo varianty
Verzie TLS siahajú od 1.0 (1999, zastarané) cez 1.1 (2006, zastarané) po 1.2 (2008, široko podporované) a 1.3 (2018, najrýchlejšie a najbezpečnejšie). Informácie o certifikáte zahŕňajú Common Name subjektu a Subject Alternative Names (SAN), reťazec vydavateľov, typ a veľkosť kľúča RSA/ECDSA, podpisový algoritmus a časové pečiatky platnosti not-before/not-after. Výsledky ukazujú, či handshake pre každú verziu protokolu uspel alebo bol serverom odmietnutý.
Bežné úskalia a okrajové prípady
CDN a load balancery môžu prezentovať iné certifikáty alebo konfigurácie TLS než origin server, preto vždy testujte skutočný endpoint, ku ktorému sa pripájajú vaši používatelia. SNI (Server Name Indication) je potrebné pre hosty, ktoré na jednej IP obsluhujú viac certifikátov — testovanie iba podľa IP adresy môže vrátiť nesprávny certifikát. Niektoré servery používajú proxy na TLS termináciu, kde proxy podporuje TLS 1.3, ale backend komunikuje iba cez 1.2, čo môže vytvoriť zavádzajúci dojem o bezpečnostnom stave celého reťazca.
Kedy použiť tento nástroj vs. kód
Tento nástroj v prehliadači použite na rýchle ad-hoc kontroly jednotlivých endpointov počas riešenia incidentov, overovania obnovy certifikátov alebo priebežných kontrol súladu. Na kontinuálne monitorovanie konfigurácií TLS naprieč mnohými endpointmi použite špecializované nástroje ako testssl.sh, sslyze alebo cloudové služby monitorovania certifikátov, ktoré poskytujú upozornenia, historické sledovanie a automatizované harmonogramy skenovania.