Ferramenta de diagnóstico de versão do protocolo TLS

Digite um domínio para verificar quais versões de TLS (1.0 a 1.3) ele suporta. Descubra gratuitamente se seu servidor ainda tem versões obsoletas habilitadas.

Dicas de uso

  • O PCI DSS (padrão de segurança do setor de cartões de pagamento) exige desde 2018 a desativação do TLS 1.0/1.1 por serem "protocolos com segurança insuficiente". Sites que processam pagamentos devem verificar isso primeiro.
  • Diferente de um verificador de certificado SSL, que examina a validade e o emissor do certificado, esta ferramenta diagnostica a própria configuração em nível de protocolo — quais versões o servidor está disposto a negociar. Usar as duas juntas oferece uma visão mais completa.
  • Deixar o TLS 1.0/1.1 habilitado não interrompe o tráfego comum imediatamente, mas os principais navegadores estão cada vez mais rejeitando-os por padrão, então desabilitá-los cedo reduz riscos futuros de compatibilidade.
  • Por outro lado, se tanto o TLS 1.2 quanto o 1.3 estiverem desabilitados, isso indica fortemente um erro de configuração, já que navegadores modernos podem não conseguir se conectar de forma alguma — trate isso como prioridade máxima.
  • Se seu site roda em hospedagem compartilhada ou atrás de uma CDN, as configurações de versão TLS geralmente são controladas pelo provedor de hospedagem, então relate qualquer problema encontrado ao suporte técnico dele.

Perguntas frequentes

O TLS 1.0, padronizado em 1999, é um protocolo antigo afetado por fragilidades criptográficas exploradas por ataques como BEAST e POODLE. O PCI DSS exigiu a migração do TLS 1.0/1.1 até o final de junho de 2018, e os principais navegadores vêm gradualmente encerrando o suporte desde então.

Basta digitar seu domínio nesta ferramenta. Ela tenta um handshake real para cada versão de TLS 1.0 a 1.3 e mostra quais têm sucesso, sem necessidade de ferramentas de linha de comando como o openssl.

Sistemas operacionais e navegadores muito antigos (como o navegador padrão do Windows XP) podem perder o acesso, mas todos os navegadores e sistemas operacionais mainstream atuais já suportam TLS 1.2 ou superior, então o impacto prático costuma ser mínimo.

O TLS 1.3, padronizado em 2018, oferece handshakes mais rápidos e uma seleção de conjuntos de cifra mais simples e segura. O TLS 1.2 também não tem vulnerabilidades críticas conhecidas, então uma abordagem comum é habilitar ambos, deixando clientes mais novos usarem o 1.3 e os mais antigos recorrerem ao 1.2.

Esta ferramenta diagnostica apenas o suporte à versão do protocolo. Para verificar validade, emissor ou entradas SAN do certificado, use o verificador de certificado SSL da mesma categoria.
ツールくん

Curiosidade — A evolução das versões do TLS e suas vulnerabilidades

O SSL, predecessor do TLS, foi desenvolvido pela Netscape em meados dos anos 1990, mas tanto o SSL 2.0 quanto o 3.0 tinham falhas fundamentais de design. O TLS 1.0, padronizado em 1999 como sucessor do SSL 3.0, ainda sofria com o tratamento inadequado de vetores de inicialização em cifras de modo CBC em algumas implementações — uma fragilidade demonstrada pelo ataque BEAST em 2011.

Em 2014, o ataque POODLE expôs uma falha de design no próprio SSL 3.0, e a preocupação rapidamente se estendeu ao TLS 1.0/1.1, de arquitetura semelhante. O PCI DSS, padrão de segurança do setor de cartões de pagamento, anunciou em 2015 uma proibição gradual do TLS 1.0 e estabeleceu junho de 2018 como prazo final para a migração completa do TLS 1.1 e versões inferiores.

O TLS 1.3, padronizado em 2018, aprendeu com essas vulnerabilidades passadas ao remover da especificação conjuntos de cifra propensos a fragilidades (como RC4 e cifras de bloco em modo CBC) e reduzir o número de idas e voltas do handshake. Hoje, a maioria dos navegadores e softwares de servidor principais habilita o TLS 1.3 por padrão e já encerrou o suporte ao TLS 1.0/1.1.

Ainda assim, existem servidores no mundo todo que dependem de sistemas antigos, e não é incomum encontrar o TLS 1.0/1.1 habilitado sem que ninguém perceba. Tornar visível de forma rápida uma configuração que administradores facilmente ignoram é exatamente o valor que uma ferramenta de diagnóstico como esta oferece.