Ferramenta de diagnóstico de versão do protocolo TLS
Digite um domínio para verificar quais versões de TLS (1.0 a 1.3) ele suporta. Descubra gratuitamente se seu servidor ainda tem versões obsoletas habilitadas.
Dicas de uso
- O PCI DSS (padrão de segurança do setor de cartões de pagamento) exige desde 2018 a desativação do TLS 1.0/1.1 por serem "protocolos com segurança insuficiente". Sites que processam pagamentos devem verificar isso primeiro.
- Diferente de um verificador de certificado SSL, que examina a validade e o emissor do certificado, esta ferramenta diagnostica a própria configuração em nível de protocolo — quais versões o servidor está disposto a negociar. Usar as duas juntas oferece uma visão mais completa.
- Deixar o TLS 1.0/1.1 habilitado não interrompe o tráfego comum imediatamente, mas os principais navegadores estão cada vez mais rejeitando-os por padrão, então desabilitá-los cedo reduz riscos futuros de compatibilidade.
- Por outro lado, se tanto o TLS 1.2 quanto o 1.3 estiverem desabilitados, isso indica fortemente um erro de configuração, já que navegadores modernos podem não conseguir se conectar de forma alguma — trate isso como prioridade máxima.
- Se seu site roda em hospedagem compartilhada ou atrás de uma CDN, as configurações de versão TLS geralmente são controladas pelo provedor de hospedagem, então relate qualquer problema encontrado ao suporte técnico dele.
Perguntas frequentes
Curiosidade — A evolução das versões do TLS e suas vulnerabilidades
O SSL, predecessor do TLS, foi desenvolvido pela Netscape em meados dos anos 1990, mas tanto o SSL 2.0 quanto o 3.0 tinham falhas fundamentais de design. O TLS 1.0, padronizado em 1999 como sucessor do SSL 3.0, ainda sofria com o tratamento inadequado de vetores de inicialização em cifras de modo CBC em algumas implementações — uma fragilidade demonstrada pelo ataque BEAST em 2011.
Em 2014, o ataque POODLE expôs uma falha de design no próprio SSL 3.0, e a preocupação rapidamente se estendeu ao TLS 1.0/1.1, de arquitetura semelhante. O PCI DSS, padrão de segurança do setor de cartões de pagamento, anunciou em 2015 uma proibição gradual do TLS 1.0 e estabeleceu junho de 2018 como prazo final para a migração completa do TLS 1.1 e versões inferiores.
O TLS 1.3, padronizado em 2018, aprendeu com essas vulnerabilidades passadas ao remover da especificação conjuntos de cifra propensos a fragilidades (como RC4 e cifras de bloco em modo CBC) e reduzir o número de idas e voltas do handshake. Hoje, a maioria dos navegadores e softwares de servidor principais habilita o TLS 1.3 por padrão e já encerrou o suporte ao TLS 1.0/1.1.
Ainda assim, existem servidores no mundo todo que dependem de sistemas antigos, e não é incomum encontrar o TLS 1.0/1.1 habilitado sem que ninguém perceba. Tornar visível de forma rápida uma configuração que administradores facilmente ignoram é exatamente o valor que uma ferramenta de diagnóstico como esta oferece.