DevToys Web Pro iconDevToys Web ProБлог
Ocenite nas:
Isprobajte ekstenziju za pregledač:

Provera TLS verzije

Serverska strana
Unesite naziv hosta iznad i kliknite Proveri da biste pregledali njegovu TLS konfiguraciju.
Tehnički detalji

Kako radi TLS proverivač

Šta alat radi

TLS proverivač ispituje TLS konfiguraciju hostname-a pokušavajući povezivanje na svakoj verziji protokola (TLS 1.0, 1.1, 1.2 i 1.3) i prijavljuje koje su verzije podržane. Takođe preuzima detalje X.509 sertifikata servera, uključujući subject, issuer, datume važenja, SAN-ove i veličinu ključa. Provera se izvršava preko serverskog API-ja kako bi se izbegla bezbednosna ograničenja pregledača za direktan pristup sirovim TLS soketima.

Uobičajeni slučajevi upotrebe za programere

DevOps inženjeri koriste TLS proverivače da potvrde da su zastareli protokoli (TLS 1.0/1.1) onemogućeni nakon promena konfiguracije, čime se obezbeđuje usklađenost sa PCI-DSS. Programeri otklanjaju probleme u lancu sertifikata, proveravaju datume isteka pre obnavljanja i potvrđuju da wildcard ili SAN sertifikati pokrivaju sve potrebne poddomene. Bezbednosni revizori skeniraju krajnje tačke kako bi identifikovali slabu podršku protokola koja može izložiti servise napadima snižavanja verzije (downgrade) kao što su POODLE ili BEAST.

Formati podataka, tipovi ili varijante

TLS verzije se kreću od 1.0 (1999, zastarelo) preko 1.1 (2006, zastarelo) do 1.2 (2008, široko podržano) i 1.3 (2018, najbrže i najbezbednije). Informacije o sertifikatu uključuju Common Name u subject-u i Subject Alternative Names (SAN-ove), lanac izdavaoca, tip i veličinu RSA/ECDSA ključa, algoritam potpisa i not-before/not-after vremenske oznake važenja. Rezultati pokazuju da li je rukovanje (handshake) za svaku verziju protokola uspelo ili ga je server odbio.

Uobičajene greške i rubni slučajevi

CDN-ovi i load balancer-i mogu prikazivati drugačije sertifikate ili TLS konfiguracije od origin servera, zato uvek testirajte stvarnu krajnju tačku na koju se vaši korisnici povezuju. SNI (Server Name Indication) je neophodan za hostove koji služe više sertifikata na jednoj IP adresi — testiranje samo po IP adresi može vratiti pogrešan sertifikat. Neki serveri koriste proksi za TLS terminaciju gde proksi podržava TLS 1.3, ali backend govori samo 1.2, što može dati obmanjujući utisak o bezbednosnom stanju celog lanca.

Kada koristiti ovaj alat umesto koda

Koristite ovaj alat u pregledaču za brze ad-hoc provere pojedinačnih krajnjih tačaka tokom odgovora na incident, verifikacije obnavljanja sertifikata ili brzih provera usklađenosti. Za kontinuirano praćenje TLS konfiguracija na mnogim krajnjim tačkama koristite namenske alate kao što su testssl.sh, sslyze ili cloud servise za nadzor sertifikata koji nude upozorenja, istorijsko praćenje i automatizovane rasporede skeniranja.