Реклама мешает? Идти Без рекламы Сегодня 

Генератор фрагмента настройки TLS/SSL

РазработчикНетворкингБезопасность

Реклама · УДАЛИТЬ?

ВХОД

Автоматический процесс

Фрагмент настройки TLS/SSL

Варианты оценки

Тип сервера

Профиль Mozilla

Оценивается по профилю Mozilla. Современный — только TLS 1.3; Средний — широкая поддержка браузеров; Старый — устаревшие клиенты.

ВЫХОД

Клиентская сторона

Реклама · УДАЛИТЬ?

Гид

Генератор фрагмента настройки TLS/SSL

Вставьте блок настройки TLS/SSL для Apache или Nginx и получите мгновенную оценку от A до F на основе рекомендаций Mozilla по серверным TLS. Оценщик выявляет устаревшие протоколы, слабые шифры, отсутствие HSTS и другие проблемы безопасности, а затем предлагает замену, соответствующую профилю Mozilla, которую можно сразу вставить в настройки сервера.

Как использовать

Вставьте ваш Apache SSLProtocol/SSLCipherSuite инструкции или блок Nginx ssl_protocols/ssl_ciphers в область ввода.
(Опционально) Выберите тип сервера — автоматическое определение работает для большинства фрагментов.
Выберите целевой профиль Mozilla: Современный (только TLS 1.3), Средний (рекомендуемый) или Старый (устаревшие клиенты).
Посмотрите карточку оценки, затем раскройте каждый результат, чтобы увидеть, какие директивы вызвали снижение балла.
Скопируйте предложенный фрагмент настройки внизу и вставьте его в настройки сервера.

Возможности

Оценка от A до F, детерминированная — То же самое ввод всегда приводит к одной и той же оценке, в отличие от советов, даваемых конверсионными ИИ.
Поддержка Apache и Nginx — Обрабатывает оба стиля. SSLProtocol/SSLCipherSuite и ssl_protocols/ssl_ciphers .
Соответствие профилю Mozilla — Оценивайте по Современному, Среднему или Старому в зависимости от потребностей вашей аудитории.
Обнаружение устаревших протоколов — Выявляет SSLv2, SSLv3, TLS 1.0 и TLS 1.1, а также контекст POODLE/DROWN/RFC 8996.
Обнаружение слабых шифров — Выявляет RC4, 3DES, EXPORT, NULL, aNULL, MD5 и другие рискованные элементы.
Проверка HSTS и OCSP stapling выполняется без Strict-Transport-Security отсутствует или max-age слишком низкий.
Фрагменты замены — Автоматически генерирует блок настройки, соответствующий профилю Mozilla для определенного типа сервера.
Клиентская и приватная — Все парсинг происходит в вашем браузере; ничего не отправляется на сервер.

 Часто задаваемые вопросы

Что такое передаваемая секретность и почему это важно?

Передаваемая секретность означает, что каждый сеанс TLS использует временный, эпизодический ключ (обычно ECDHE или DHE). Если атакующий позже компрометирует долгосрочный приватный ключ сервера, он всё ещё не может расшифровать ранее захваченные данные — каждый сеанс использовал свой временный ключ. Криптографические наборы, начинающиеся с ECDHE_ или DHE_, обеспечивают передаваемую секретность; старые наборы на основе RSA не обеспечивают этого.
Почему TLS 1.0 считается небезопасным, если нет известных полных атак?

TLS 1.0 (1999) использует слабую псевдослучайную функцию (MD5+SHA1) и уязвима к атакам BEAST и нескольким атакам на паддинг (POODLE TLS, Lucky 13). Основные производители браузеров и PCI DSS отменили поддержку, а RFC 8996 официально отменила как TLS 1.0, так и TLS 1.1. Даже без полной атаки протокол больше не соответствует современным стандартам безопасности.
Что на самом деле защищает HSTS?

HSTS (HTTP Strict Transport Security) предотвращает атаки на снижение уровня и атаки на SSL-стрипинг. После того как браузер видит заголовок Strict-Transport-Security, он отказывается загружать сайт по обычному HTTP в течение срока max-age — даже если пользователь вводит http:// или кликает по ссылке http. Без HSTS атакующий может перехватить первый запрос в открытом виде до перенаправления на HTTPS.
Как OCSP stapling улучшает безопасность и производительность?

OCSP stapling позволяет серверу заранее получить подписанное утверждение о действительности от центра сертификации и прикрепить его к TLS-сессии. Клиенту не нужно делать отдельный запрос к OCSP, что экономит один ход и предотвращает CA от получения информации о визитах пользователя. Кроме того, это обеспечивает отказоустойчивость при медленной или недоступной OCSP-сервере CA.
Какова разница между профилями Mozilla: современным, средним и старым?

Современный профиль ориентирован на клиенты, поддерживающие только TLS 1.3 (Chrome 70+, Firefox 63+, Safari 12.1+) — наилучшая безопасность, минимальная совместимость. Средний профиль включает TLS 1.2 и 1.3 с отобранным списком шифров — рекомендуемый стандарт для большинства публичных сайтов. Старый профиль возвращает поддержку TLS 1.0 для устаревших клиентов (Windows XP, Android 4) и принимает слабые шифры — выбирайте его только в том случае, если вы действительно должны поддерживать такие клиенты.