TLS-Protokollversion-Diagnosetool

Geben Sie einen Domainnamen ein, um zu prüfen, welche TLS-Versionen (1.0 bis 1.3) unterstützt werden. Kostenlos feststellen, ob veraltete Versionen auf Ihrem Server noch aktiviert sind.

Tipps zur Verwendung

  • PCI DSS (der Sicherheitsstandard der Zahlungskartenindustrie) schreibt seit 2018 vor, TLS 1.0/1.1 als „unzureichend sichere Protokolle“ zu deaktivieren. Websites mit Zahlungsabwicklung sollten dies zuerst prüfen.
  • Anders als ein SSL-Zertifikatsprüfer, der Ablaufdatum und Aussteller eines Zertifikats untersucht, diagnostiziert dieses Tool die Protokollkonfiguration selbst — welche Versionen der Server auszuhandeln bereit ist. Beide zusammen zu nutzen liefert ein vollständigeres Bild.
  • TLS 1.0/1.1 aktiviert zu lassen, unterbricht den normalen Datenverkehr nicht sofort, doch große Browser bewegen sich zunehmend dahin, sie standardmäßig abzulehnen — eine frühzeitige Deaktivierung verringert künftige Kompatibilitätsrisiken.
  • Sind hingegen sowohl TLS 1.2 als auch 1.3 deaktiviert, deutet das stark auf eine Fehlkonfiguration hin, da moderne Browser sich unter Umständen gar nicht verbinden können — behandeln Sie dies als höchste Priorität.
  • Läuft Ihre Website auf einem Shared-Hosting-Server oder hinter einem CDN, werden die TLS-Versionseinstellungen meist vom Hosting-Anbieter kontrolliert. Melden Sie gefundene Probleme dessen Support.

Häufig gestellte Fragen

TLS 1.0, standardisiert 1999, ist ein altes Protokoll mit kryptografischen Schwächen, die von Angriffen wie BEAST und POODLE ausgenutzt werden. PCI DSS schrieb bis Ende Juni 2018 die Migration weg von TLS 1.0/1.1 vor, und große Browser haben die Unterstützung seither schrittweise eingestellt.

Geben Sie einfach Ihre Domain in dieses Tool ein. Es versucht für jede Version von TLS 1.0 bis 1.3 einen echten Handshake und zeigt, welche erfolgreich sind — ganz ohne Kommandozeilen-Tools wie openssl.

Sehr alte Betriebssysteme und Browser (etwa der Standardbrowser von Windows XP) könnten den Zugriff verlieren, doch alle heute gängigen Browser und Betriebssysteme unterstützen bereits TLS 1.2 oder höher, sodass die praktischen Auswirkungen meist gering sind.

TLS 1.3, standardisiert 2018, bietet schnellere Handshakes und eine einfachere, sicherere Auswahl an Cipher Suites. TLS 1.2 hat ebenfalls keine bekannten kritischen Schwachstellen, weshalb es üblich ist, beide zu aktivieren — neuere Clients nutzen 1.3, ältere weichen auf 1.2 aus.

Dieses Tool diagnostiziert nur die Unterstützung der Protokollversion. Um Ablaufdatum, Aussteller oder SAN-Einträge des Zertifikats zu prüfen, nutzen Sie den SSL-Zertifikatsprüfer in derselben Kategorie.
ツールくん

Übrigens – Die Entwicklung der TLS-Versionen und ihre Schwachstellen

SSL, der Vorgänger von TLS, wurde Mitte der 1990er-Jahre von Netscape entwickelt, doch sowohl SSL 2.0 als auch 3.0 hatten grundlegende Designfehler. TLS 1.0, 1999 als Nachfolger von SSL 3.0 standardisiert, litt in manchen Implementierungen weiterhin unter einer unsachgemäßen Behandlung von Initialisierungsvektoren bei CBC-Modus-Chiffren — eine Schwäche, die der BEAST-Angriff 2011 demonstrierte.

2014 deckte der POODLE-Angriff einen Designfehler in SSL 3.0 selbst auf, und die Sorge weitete sich schnell auf das architektonisch ähnliche TLS 1.0/1.1 aus. PCI DSS, der Sicherheitsstandard der Zahlungskartenindustrie, kündigte 2015 ein stufenweises Verbot von TLS 1.0 an und setzte Juni 2018 als endgültige Frist für die vollständige Migration weg von TLS 1.1 und darunter.

TLS 1.3, 2018 standardisiert, zog Lehren aus diesen vergangenen Schwachstellen, indem anfällige Cipher Suites (wie RC4 und Blockchiffren im CBC-Modus) aus der Spezifikation entfernt und die Anzahl der Handshake-Roundtrips reduziert wurden. Heute aktivieren die meisten großen Browser und Serversoftware TLS 1.3 standardmäßig und haben die Unterstützung für TLS 1.0/1.1 bereits eingestellt.

Dennoch gibt es weltweit Server, die weiterhin auf alten Systemen angewiesen sind, und es ist nicht ungewöhnlich, TLS 1.0/1.1 unbemerkt weiterhin aktiviert vorzufinden. Eine Serverkonfiguration, die Administratoren leicht übersehen, auf einen Blick sichtbar zu machen, ist genau der Wert, den ein Diagnosetool wie dieses bietet.