Проверяет поддержку TLS 1.0/1.1/1.2/1.3 и используемые шифры. Параллельные запросы — результат через несколько секунд.
Сервис 101IP параллельно подключается к серверу с принудительным указанием каждой версии TLS и определяет, какие протоколы поддерживаются и какие шифры при этом используются.
Шифры с меткой PFS используют ключевой обмен ECDHE или DHE, что обеспечивает прямую секретность: компрометация закрытого ключа сервера не позволит расшифровать прошлые сессии.
Результаты тестов TLS 1.0/1.1 зависят в том числе от настроек OpenSSL на стороне сервера проверки. Если TLS 1.0 показан как «недоступен», это может означать как отключение на целевом сервере, так и ограничения локального OpenSSL.
Смотрите также: SSL-сертификат, HSTS Check, Security Headers.
TLS 1.0 и 1.1 содержат уязвимости: BEAST, POODLE и другие атаки на блочные шифры CBC. Они официально признаны устаревшими (RFC 8996) и отключены в большинстве браузеров с 2020 года. Поддержка этих версий снижает оценку безопасности сервера.
Perfect Forward Secrecy (PFS) — свойство протокола, при котором компрометация долгосрочного ключа не позволяет расшифровать прошлые сессии. Достигается использованием эфемерных ключей DHE или ECDHE. Шифры с PFS (например, ECDHE-RSA-AES256-GCM-SHA384) помечаются как PFS в результатах проверки.
A — поддерживается только TLS 1.2/1.3, все шифры с PFS. B — есть незначительные проблемы с шифрами. C — поддерживается TLS 1.1. D — поддерживается TLS 1.0. F — критические уязвимости или используются слабые шифры (RC4, DES, EXPORT).