ตัวตรวจสอบเวอร์ชัน TLS
รายละเอียดทางเทคนิค
ตัวตรวจสอบ TLS ทำงานอย่างไร
เครื่องมือนี้ทำอะไร
ตัวตรวจสอบ TLS จะทดสอบการตั้งค่า TLS ของโฮสต์เนมโดยพยายามเชื่อมต่อในแต่ละเวอร์ชันของโปรโตคอล (TLS 1.0, 1.1, 1.2 และ 1.3) และรายงานว่าเซิร์ฟเวอร์รองรับเวอร์ชันใดบ้าง นอกจากนี้ยังดึงรายละเอียดใบรับรอง X.509 ของเซิร์ฟเวอร์ รวมถึง subject, issuer, วันที่เริ่ม/สิ้นสุดความถูกต้อง, SANs และขนาดคีย์ การตรวจสอบทำงานผ่าน API ฝั่งเซิร์ฟเวอร์เพื่อหลีกเลี่ยงข้อจำกัดด้านความปลอดภัยของเบราว์เซอร์ในการเข้าถึงซ็อกเก็ต TLS แบบดิบ
กรณีการใช้งานทั่วไปของนักพัฒนา
วิศวกร DevOps ใช้ตัวตรวจสอบ TLS เพื่อยืนยันว่าโปรโตคอลที่เลิกใช้แล้ว (TLS 1.0/1.1) ถูกปิดหลังการเปลี่ยนแปลงคอนฟิก เพื่อให้เป็นไปตาม PCI-DSS นักพัฒนาจะดีบักปัญหา certificate chain ตรวจวันหมดอายุก่อนต่ออายุ และยืนยันว่าใบรับรองแบบ wildcard หรือ SAN ครอบคลุมซับโดเมนที่จำเป็นทั้งหมด ผู้ตรวจสอบความปลอดภัยสแกนเอ็นด์พอยต์เพื่อระบุการรองรับโปรโตคอลที่อ่อนแอซึ่งอาจทำให้บริการเสี่ยงต่อการโจมตีแบบ downgrade เช่น POODLE หรือ BEAST
รูปแบบข้อมูล ชนิด หรือรูปแบบย่อย
เวอร์ชัน TLS มีตั้งแต่ 1.0 (1999, เลิกใช้แล้ว) ผ่าน 1.1 (2006, เลิกใช้แล้ว) ไปจนถึง 1.2 (2008, รองรับอย่างแพร่หลาย) และ 1.3 (2018, เร็วที่สุดและปลอดภัยที่สุด) ข้อมูลใบรับรองประกอบด้วย subject Common Name และ Subject Alternative Names (SANs), issuer chain, ประเภทและขนาดคีย์ RSA/ECDSA, อัลกอริทึมลายเซ็น และเวลาเริ่ม/สิ้นสุดความถูกต้องแบบ not-before/not-after ผลลัพธ์ระบุว่าการจับมือ (handshake) ของแต่ละเวอร์ชันโปรโตคอลสำเร็จหรือถูกเซิร์ฟเวอร์ปฏิเสธ
ข้อผิดพลาดที่พบบ่อยและกรณีขอบ
CDN และโหลดบาลานเซอร์อาจแสดงใบรับรองหรือการตั้งค่า TLS ที่แตกต่างจากเซิร์ฟเวอร์ต้นทาง ดังนั้นควรทดสอบเอ็นด์พอยต์จริงที่ผู้ใช้ของคุณเชื่อมต่อเสมอ SNI (Server Name Indication) จำเป็นสำหรับโฮสต์ที่ให้บริการหลายใบรับรองบน IP เดียว — การทดสอบด้วยที่อยู่ IP อย่างเดียวอาจได้ใบรับรองผิด บางเซิร์ฟเวอร์ใช้พร็อกซีสำหรับ TLS termination โดยที่พร็อกซีรองรับ TLS 1.3 แต่แบ็กเอนด์สื่อสารได้แค่ 1.2 ทำให้เข้าใจผิดเกี่ยวกับสถานะความปลอดภัยของทั้งเชน
เมื่อใดควรใช้เครื่องมือนี้แทนการเขียนโค้ด
ใช้เครื่องมือบนเบราว์เซอร์นี้สำหรับการตรวจแบบเฉพาะกิจอย่างรวดเร็วกับเอ็นด์พอยต์รายตัว ระหว่างการตอบสนองต่อเหตุการณ์ การยืนยันการต่ออายุใบรับรอง หรือการสุ่มตรวจเพื่อการปฏิบัติตามข้อกำหนด สำหรับการมอนิเตอร์การตั้งค่า TLS อย่างต่อเนื่องในหลายเอ็นด์พอยต์ ให้ใช้เครื่องมือเฉพาะทาง เช่น testssl.sh, sslyze หรือบริการมอนิเตอร์ใบรับรองบนคลาวด์ที่มีการแจ้งเตือน การติดตามย้อนหลัง และตารางสแกนอัตโนมัติ