Anúncios incomodam? Ir Sem anúncios Hoje 

Avaliador de trecho de configuração TLS/SSL

DesenvolvedorRedeSegurança

ANUNCIADO Remover?

ENTRADA

Processo Automático

SAÍDA

Lado cliente

ANUNCIADO Remover?

Guia

Avaliador de trecho de configuração TLS/SSL

Cole um bloco de configuração TLS/SSL do Apache ou Nginx e receba uma avaliação imediata de A a F com base nas diretrizes do Mozilla sobre TLS do lado do servidor. O avaliador identifica protocolos desatualizados, ciphers fracos, falta de HSTS e outros problemas de segurança, e sugere um trecho alternativo alinhado ao Mozilla que você pode copiar diretamente para a configuração do servidor.

Como usar

Cole seu Apache SSLProtocol/SSLCipherSuite directivas ou Nginx ssl_protocols/ssl_ciphers bloco no área de entrada.
(Opcional) Escolha o tipo de servidor — o auto-detecto funciona para a maioria dos trechos.
Escolha o perfil do Mozilla desejado: Moderno (apenas TLS 1.3), Intermediário (recomendado) ou Antigo (clientes legados).
Revise a carta de avaliação e expanda cada descoberta para ver exatamente qual diretiva causou a penalização.
Copie o trecho sugerido no final e integre-o à sua configuração do servidor.

Características

Avaliação determinística de A a F – O mesmo input sempre produz a mesma pontuação, diferente das recomendações de inteligência artificial conversacional.
Suporte para Apache & Nginx – Analisa ambos SSLProtocol/SSLCipherSuite e ssl_protocols/ssl_ciphers os estilos.
Correspondência com perfil do Mozilla – Avalie com base em Moderno, Intermediário ou Antigo, conforme as necessidades do seu público.
Detecção de protocolos desatualizados – Identifica SSLv2, SSLv3, TLS 1.0 e TLS 1.1, além do contexto POODLE/DROWN/RFC 8996.
Detecção de ciphers fracos – Identifica RC4, 3DES, EXPORT, NULL, aNULL, MD5 e outros tokens arriscados.
Verificações de HSTS & OCSP stapling – Adverte quando Strict-Transport-Security falta ou max-age é muito baixa.
Trechos de substituição – Gera automaticamente um bloco de configuração alinhado ao Mozilla para o tipo de servidor detectado.
Lado do cliente & privado – Todas as análises são executadas no seu navegador; nada é enviado para um servidor.

 Perguntas frequentes

O que é a segurança avançada e por que é importante?

A segurança avançada significa que cada sessão TLS utiliza uma chave temporária e episódica (normalmente ECDHE ou DHE). Se um atacante comprometer posteriormente a chave privada do servidor, ainda não consegue decifrar o tráfego anteriormente gravado — cada sessão usou uma chave descartável. As combinações de cifra que começam com ECDHE_ ou DHE_ oferecem segurança avançada; as combinações antigas com troca de chave RSA não oferecem.
Por que o TLS 1.0 é considerado inseguro, mesmo sem quebras conhecidas?

O TLS 1.0 (1999) utiliza uma função pseudorandom mais fraca (MD5+SHA1) e é vulnerável a ataques BEAST e vários ataques de padding-oracle (POODLE TLS, Lucky 13). As principais empresas de navegadores e o PCI DSS desativaram o suporte, e o RFC 8996 formalmente descontinua o TLS 1.0 e 1.1. Mesmo sem uma quebra completa, o protocolo não atende mais às bases de segurança modernas.
O que realmente protege o HSTS?

O HSTS (Transporte Estrito HTTP) previne ataques de downgrade e de desligamento de SSL. Uma vez que o navegador vê a cabeça Strict-Transport-Security, ele recusa carregar o site por HTTP durante o período de max-age — mesmo se o usuário digitar http:// ou clicar em um link http. Sem HSTS, um atacante na rede pode interceptar a primeira requisição em texto claro antes da redirecionamento para HTTPS.
Como o OCSP stapling melhora a segurança e o desempenho?

O OCSP stapling permite que o servidor pré-consiga uma declaração de validade assinada pela autoridade certificadora e a anexe ("estape") durante a handshake TLS. O cliente não precisa fazer uma consulta separada ao OCSP, o que economiza uma rota e evita que a CA saiba quais sites o usuário visita. Também funciona como falha de segurança quando o responder OCSP da CA está lento ou offline.
Qual é a diferença entre os perfis modernos, intermediários e antigos do Mozilla?

O moderno visa clientes que suportam apenas TLS 1.3 (Chrome 70+, Firefox 63+, Safari 12.1+) — maior segurança, menor footprint de compatibilidade. O intermediário habilita TLS 1.2 e 1.3 com uma lista curada de ciphers — a configuração recomendada padrão para a maioria dos sites públicos. O antigo volta até TLS 1.0 para clientes legados (Windows XP, Android 4) e aceita ciphers mais fracos — escolha apenas se realmente precisar suportar esses clientes.