TLS协议版本诊断工具

只需输入域名,即可诊断该服务器对TLS 1.0至1.3各版本的支持情况。免费检测服务器是否仍启用了已被弃用的旧版本协议。

使用提示

  • PCI DSS(支付卡行业安全标准)自2018年起已要求禁用TLS 1.0/1.1,将其视为"安全性不足的协议"。处理支付业务的网站尤其应优先检查这一点。
  • 与检查证书有效期和颁发者的SSL证书检测工具不同,本工具诊断的是服务器"协议层面"本身愿意协商的版本设置。两者搭配使用能获得更全面的信息。
  • 即使TLS 1.0/1.1仍处于启用状态,通常不会立即影响正常访问,但主流浏览器正逐步默认拒绝这些旧版本,尽早禁用可降低未来的兼容性风险。
  • 反之,如果TLS 1.2和1.3都被禁用,则很可能是配置错误,因为现代浏览器可能完全无法连接,应作为最优先修复的问题处理。
  • 如果网站运行在共享主机或CDN之后,TLS版本设置通常由主机服务商控制,发现问题后应联系其技术支持。

常见问题

TLS 1.0于1999年标准化,是一种较老的协议,存在被BEAST、POODLE等攻击手法利用的加密算法弱点。PCI DSS要求在2018年6月底前完成从TLS 1.0/1.1的迁移,主流浏览器也在逐步停止对其的支持。

只需在本工具中输入域名,即可对TLS 1.0至1.3这4个版本分别尝试真实握手,并列表显示各自的连接结果,无需使用openssl等命令行工具即可轻松确认。

2010年代中期以前非常老旧的操作系统和浏览器(例如Windows XP自带浏览器)可能无法访问,但目前主流的浏览器和操作系统均已支持TLS 1.2及以上版本,实际影响通常有限。

TLS 1.3于2018年标准化,通过加快握手速度和简化加密套件选择,在安全性与性能两方面都有提升。不过已广泛普及的TLS 1.2目前也没有已知的严重漏洞,常见做法是两者都启用,让较新的客户端使用1.3,较旧的客户端回退到1.2。

本工具仅诊断协议版本的支持情况。如需查看证书有效期、颁发者、SAN等信息,请使用同分类下的SSL证书检测工具。
ツールくん

闲话 ― TLS版本的演进与漏洞历史

TLS的前身SSL由Netscape公司于上世纪90年代中期开发,但SSL 2.0与3.0都存在根本性的设计缺陷。作为SSL 3.0的后继者,TLS 1.0于1999年标准化,但部分实现在CBC模式加密算法的初始化向量处理上仍有不足,这一弱点在2011年公开的BEAST攻击中得到了证实。

2014年,针对SSL 3.0设计缺陷的POODLE攻击被公开,这使得业界对架构相近的TLS 1.0/1.1也迅速产生了警惕。支付卡行业安全标准PCI DSS于2015年宣布将分阶段禁止使用TLS 1.0,并将2018年6月底定为从TLS 1.1及以下版本完全迁移的最终期限。

2018年标准化的TLS 1.3吸取了以往漏洞的教训,从规范中移除了容易产生弱点的加密套件(如RC4以及CBC模式的分组加密),并减少了握手所需的往返次数。如今,大多数主流浏览器和服务器软件都已默认启用TLS 1.3,并已停止对TLS 1.0/1.1的支持。

尽管如此,全球仍存在不得不依赖旧系统运行的服务器,TLS 1.0/1.1被无意中保留启用的情况并不少见。让管理员容易忽视的服务器配置状况变得一目了然,正是本工具这类诊断工具的价值所在。