DevToys Web Pro iconDevToys Web ProBlog
Đánh giá chúng tôi:
Dùng thử tiện ích mở rộng trình duyệt:

Trình kiểm tra phiên bản TLS

Phía máy chủ
Nhập tên máy chủ ở trên và nhấp Kiểm tra để xem cấu hình TLS của nó.
Chi tiết kỹ thuật

Trình kiểm tra TLS hoạt động như thế nào

Công cụ làm gì

Trình kiểm tra TLS thăm dò cấu hình TLS của một hostname bằng cách thử kết nối ở từng phiên bản giao thức (TLS 1.0, 1.1, 1.2 và 1.3) và báo cáo những phiên bản được hỗ trợ. Công cụ cũng truy xuất chi tiết chứng chỉ X.509 của máy chủ, bao gồm subject, issuer, các mốc thời gian hiệu lực, SAN và kích thước khóa. Việc kiểm tra chạy thông qua một API phía máy chủ để tránh các hạn chế bảo mật của trình duyệt đối với truy cập socket TLS thô.

Các trường hợp sử dụng phổ biến cho lập trình viên

Kỹ sư DevOps dùng trình kiểm tra TLS để xác minh rằng các giao thức đã bị loại bỏ (TLS 1.0/1.1) đã được tắt sau khi thay đổi cấu hình, đảm bảo tuân thủ PCI-DSS. Lập trình viên gỡ lỗi các vấn đề chuỗi chứng chỉ, kiểm tra ngày hết hạn trước khi gia hạn và xác nhận rằng chứng chỉ wildcard hoặc SAN bao phủ tất cả các subdomain cần thiết. Kiểm toán viên bảo mật quét các endpoint để xác định hỗ trợ giao thức yếu có thể khiến dịch vụ bị lộ trước các cuộc tấn công hạ cấp như POODLE hoặc BEAST.

Định dạng dữ liệu, kiểu hoặc biến thể

Các phiên bản TLS trải từ 1.0 (1999, đã bị loại bỏ) qua 1.1 (2006, đã bị loại bỏ) đến 1.2 (2008, được hỗ trợ rộng rãi) và 1.3 (2018, nhanh nhất và an toàn nhất). Thông tin chứng chỉ bao gồm Common Name của subject và Subject Alternative Names (SAN), chuỗi issuer, loại và kích thước khóa RSA/ECDSA, thuật toán chữ ký và các mốc thời gian hiệu lực not-before/not-after. Kết quả cho biết bắt tay (handshake) của từng phiên bản giao thức có thành công hay bị máy chủ từ chối.

Các lỗi thường gặp và trường hợp biên

CDN và bộ cân bằng tải có thể cung cấp chứng chỉ hoặc cấu hình TLS khác với máy chủ gốc, vì vậy hãy luôn kiểm tra đúng endpoint thực tế mà người dùng của bạn kết nối tới. SNI (Server Name Indication) là bắt buộc đối với các host phục vụ nhiều chứng chỉ trên một IP — kiểm tra chỉ bằng địa chỉ IP có thể trả về sai chứng chỉ. Một số máy chủ dùng proxy kết thúc TLS, trong đó proxy hỗ trợ TLS 1.3 nhưng backend chỉ nói 1.2, tạo ấn tượng sai lệch về tư thế bảo mật của toàn bộ chuỗi.

Khi nào nên dùng công cụ này thay vì viết mã

Hãy dùng công cụ trên trình duyệt này để kiểm tra nhanh, ad-hoc các endpoint riêng lẻ trong quá trình ứng phó sự cố, xác minh gia hạn chứng chỉ hoặc kiểm tra tuân thủ tại chỗ. Để giám sát liên tục cấu hình TLS trên nhiều endpoint, hãy dùng các công cụ chuyên dụng như testssl.sh, sslyze hoặc các dịch vụ giám sát chứng chỉ trên đám mây cung cấp cảnh báo, theo dõi lịch sử và lịch quét tự động.