TLS Audit

Публичная методика TLS Audit v0.2: что проверяется, как это влияет на оценку, на что опираются выводы и где проходят границы автоматической диагностики.

Версия методики: 0.2. Последнее обновление: 28.05.2026.

Вернуться к проверке

Зачем это нужно

  • TLS Audit не пытается быть копией SSL Labs: это русскоязычный диагностический инструмент, который объясняет, что сломано, почему это важно и как исправить конфигурацию.
  • Публичная оценка нужна для быстрой навигации по рискам, но сам отчёт важнее буквы: он показывает причины, ограничения и рекомендации.
  • Методика версии 0.2 делает оценки прозрачнее: сервис объясняет, что именно проверялось, как это влияет на вывод и где автоматическая проверка заканчивается.

Что проверяется

  • Сертификат: срок действия, совпадение домена, SAN, issuer, параметры ключа и признаки проблем с цепочкой доверия.
  • TLS-конфигурация: поддерживаемые версии протокола, cipher suites, server preference, forward secrecy и legacy-настройки.
  • HTTP и HTTPS-hardening: HSTS, OCSP stapling и связанные заголовки, которые влияют на устойчивость публичной конфигурации.
  • Отдельный блок совместимости: российские УЦ и ГОСТ не улучшают глобальную оценку, а показываются отдельным слоем для специальных сценариев.

Как читать оценку

  • A+ означает сильную публичную HTTPS/TLS-конфигурацию без критичных замечаний и с включённым HSTS.
  • A и B означают рабочую современную основу с разным объёмом hardening-замечаний или legacy-совместимости.
  • C и D показывают, что в конфигурации есть проблемы, влияющие на безопасность, совместимость или доверие к сертификату.
  • Не каждое уведомление снижает оценку: часть сигналов относится к hardening и помогает довести конфигурацию до аккуратного состояния.

Как устроены источники данных

  • Базовый Python scanner собирает сертификат, базовую цепочку доверия, TLS-версии, часть cipher-признаков и HTTP-заголовки.
  • testssl.sh используется как глубокий внешний сканер для cipher suites, части уязвимостей, цепочки, stapling и дополнительных TLS-сигналов.
  • OpenSSL probes нужны для дополнительных подтверждений по сертификату и TLS-рукопожатию.
  • DNS probe фиксирует, какие публичные адреса были разрешены перед запуском сканирования.
  • Следующий шаг версии 0.2: показать evidence по каждому важному выводу прямо в отчёте.

Ограничения автоматической проверки

  • Сервис видит публичную точку входа: если перед сайтом стоит CDN или балансировщик, отчёт относится именно к нему.
  • Некоторые риски зависят от приложения, бизнес-логики и содержимого страниц, поэтому показываются как контекст или hardening, а не как жёсткое снижение оценки.
  • TLS Audit не заменяет полноценный аудит инфраструктуры, web security review и ручную проверку продакшен-изменений.
  • Методика будет развиваться: у неё есть версия, changelog и отдельная страница сравнения с SSL Labs, чтобы не смешивать разные модели оценки.

Ключевые группы проверок

ПроверкаКак влияетПочему важноОснованиеКак исправитьЧто не покрывается
Сертификат и hostnameИстекший, недоверенный или mismatch-сертификат может увести оценку в D.Пользователь получает предупреждение браузера и теряет доверие к сайту.Практика браузеров, OWASP TLS, базовые требования PKI.Перевыпустить сертификат, проверить SAN/CN, установить корректную цепочку.Не проверяются внутренние сертификаты за VPN и приватные точки входа.
TLS-версииSSLv3 и опасные legacy-настройки дают сильное снижение; TLS 1.2/1.3 считаются нормальной базой.Старые протоколы несут известные криптографические и совместимые риски.OWASP TLS Cheat Sheet, практики браузеров и вендоров.Оставить TLS 1.2 и TLS 1.3, проверить совместимость легаси-клиентов отдельно.Не моделируется реальная аудитория всех ваших старых клиентов.
Cipher suitesОпасные наборы шифров снижают оценку сильнее, чем умеренные hardening-замечания.Слабые алгоритмы и плохая комбинация протокол/шифр ухудшают безопасность канала.testssl.sh, Mozilla guidance, практические TLS baseline-рекомендации.Отключить RC4, 3DES, NULL/EXPORT/anon; сократить CBC-only конфигурации.Сервис не моделирует поведение каждого CDN или TLS-терминатора по отдельности.
HSTS и HTTPS-hardeningHSTS помогает дойти до A+, но часть связанных замечаний идёт как hardening, а не как критический штраф.Защищает от downgrade и случайного возврата на HTTP.MDN, практики эксплуатации публичных HTTPS-сайтов.Включить HSTS поэтапно: сначала малый max-age, потом production-значение.Не проверяется готовность всех поддоменов к includeSubDomains/preload.
ГОСТ и российские УЦНе меняют глобальную оценку A+...D.Это отдельный вопрос совместимости для российских инфраструктурных сценариев.Локальный справочник УЦ и признаки ГОСТ-алгоритмов.Использовать как отдельную проверку совместимости, а не как замену глобальной TLS-безопасности.Сервис не гарантирует фактическую совместимость со всеми российскими браузерами и CSP-стеками.
OCSP / StaplingОтсутствие stapling выводится как улучшение конфигурации, без жесткого обвала оценки.Помогает клиентам быстрее проверять статус сертификата и снижать зависимость от внешнего OCSP в runtime.Практики публичной эксплуатации TLS и рекомендации по hardening.Включить OCSP stapling на reverse proxy и убедиться, что цепочка сертификатов полная.Не гарантируется доступность всех OCSP responder в каждом регионе и сети клиента.
Уязвимости TLS (testssl + baseline)Критичные подтвержденные проблемы дают сильное снижение; контекстные/условные сигналы показываются как hardening.Позволяет быстро отловить реально опасные отклонения в публичной TLS-конфигурации.testssl.sh, baseline scanner, практический риск-ориентированный подход.Закрыть подтвержденные критичные проблемы в конфиге и перепроверить отчетом после релиза.Не проводится эксплуатационный pentest приложения и бизнес-логики.
Недоступность цели / scan failureНе трактуется как буквенная деградация TLS-оценки, но фиксируется как critical operational event в мониторинге.Операционно важнее быстро узнать о падении точки входа, чем пересчитывать букву оценки.Monitoring pipeline TLS Audit v0.2, event-driven alerts.Проверить DNS, сеть, сертификат, reverse proxy и доступность origin; выполнить run now после восстановления.Не заменяет внешний uptime monitoring с мульти-региональными probes.