DevToys Web Pro iconDevToys Web ProBlog
Ocenite nas:
Preizkusite razširitev brskalnika:

Preverjanje različice TLS

Na strežniški strani
Zgoraj vnesite ime gostitelja in kliknite Preveri, da pregledate njegovo konfiguracijo TLS.
Tehnične podrobnosti

Kako deluje preverjevalnik TLS

Kaj orodje počne

Preverjevalnik TLS preizkusi konfiguracijo TLS za ime gostitelja tako, da poskusi vzpostaviti povezavo pri vsaki različici protokola (TLS 1.0, 1.1, 1.2 in 1.3) ter poroča, katere različice so podprte. Prav tako pridobi podrobnosti strežniškega certifikata X.509, vključno z imetnikom (subject), izdajateljem (issuer), datumi veljavnosti, SAN-i in velikostjo ključa. Preverjanje se izvaja prek strežniškega API-ja, da se izogne varnostnim omejitvam brskalnika pri neposrednem dostopu do surovih TLS vtičnic.

Pogosti primeri uporabe za razvijalce

Inženirji DevOps uporabljajo preverjevalnike TLS za potrditev, da so zastareli protokoli (TLS 1.0/1.1) po spremembah konfiguracije onemogočeni, s čimer zagotovijo skladnost s PCI-DSS. Razvijalci odpravljajo težave z verigo certifikatov, preverjajo datume poteka pred obnovitvami in potrjujejo, da nadomestni (wildcard) ali SAN certifikati pokrivajo vse zahtevane poddomene. Varnostni revizorji skenirajo končne točke, da prepoznajo šibko podporo protokolom, ki bi lahko storitve izpostavila napadom z znižanjem različice, kot sta POODLE ali BEAST.

Podatkovni formati, tipi ali različice

Različice TLS segajo od 1.0 (1999, zastarelo) prek 1.1 (2006, zastarelo) do 1.2 (2008, široko podprto) in 1.3 (2018, najhitrejše in najvarnejše). Podatki o certifikatu vključujejo skupno ime imetnika (Common Name) in alternativna imena imetnika (SAN-i), verigo izdajateljev, tip in velikost ključa RSA/ECDSA, algoritem podpisa ter časovne žige veljavnosti not-before/not-after. Rezultati kažejo, ali je rokovanje (handshake) za vsako različico protokola uspelo ali ga je strežnik zavrnil.

Pogoste pasti in robni primeri

CDN-ji in uravnoteževalniki obremenitve lahko predstavijo drugačne certifikate ali konfiguracije TLS kot izvorni strežnik, zato vedno testirajte dejansko končno točko, na katero se povezujejo vaši uporabniki. SNI (Server Name Indication) je potreben za gostitelje, ki na enem IP-ju strežejo več certifikatov — testiranje samo po IP-naslovu lahko vrne napačen certifikat. Nekateri strežniki uporabljajo posrednike za terminacijo TLS, kjer posrednik podpira TLS 1.3, zaledje pa govori le 1.2, kar daje zavajajoč vtis o varnostni drži celotne verige.

Kdaj uporabiti to orodje namesto kode

To orodje v brskalniku uporabite za hitre ad-hoc preglede posameznih končnih točk med odzivom na incidente, preverjanjem obnovitve certifikata ali sprotnimi preverjanji skladnosti. Za neprekinjeno spremljanje konfiguracij TLS na številnih končnih točkah uporabite namenska orodja, kot so testssl.sh, sslyze ali storitve za spremljanje certifikatov v oblaku, ki nudijo opozarjanje, zgodovinsko sledenje in avtomatizirane urnike skeniranja.