Направление аудита

SSL/TLS: сертификаты, Heartbleed, ROBOT, HSTS

Слабая TLS-конфигурация подрывает всю HTTPS-защиту. AuditGuard использует SSLyze для глубокой проверки: версии протокола, шифр-сюиты, уязвимости Heartbleed/ROBOT/CRIME/BREACH, срок действия сертификата.

SSLyze
testssl.sh
Запустить аудит Методология

Что проверяется

  • TLS версии: TLS 1.0/1.1 (устаревшие), TLS 1.2/1.3 (рекомендуемые)
  • Уязвимость Heartbleed (CVE-2014-0160)
  • Уязвимость ROBOT (Return of Bleichenbacher's Oracle Threat)
  • Уязвимость CCS Injection (CVE-2014-0224)
  • HSTS: наличие, max-age, includeSubDomains, preload
  • Срок действия SSL-сертификата
  • Chain of trust: полнота цепочки сертификатов
  • Wildcard vs. конкретный сертификат
  • Certificate Transparency (CT log)

Почему это важно

  • TLS 1.0 и 1.1 официально признаны устаревшими — возможны атаки POODLE, BEAST
  • Heartbleed позволяет читать оперативную память сервера, включая приватные ключи
  • Просроченный сертификат — браузер показывает критическое предупреждение, трафик падает
  • Без HSTS Preload пользователь уязвим к SSL-stripping даже с HSTS-заголовком

Частые вопросы

Вопрос

Что такое Heartbleed и актуален ли он сейчас?

Heartbleed (CVE-2014-0160) — критическая уязвимость в OpenSSL 2014 года, позволяющая читать память сервера. Уязвимые версии OpenSSL (1.0.1a-1.0.1f) больше не используются в современных системах, но устаревшие серверы всё ещё встречаются.

Вопрос

Нужен ли TLS 1.3?

TLS 1.3 быстрее (0-RTT handshake) и безопаснее TLS 1.2. Рекомендуется поддерживать TLS 1.2 и TLS 1.3, отключив TLS 1.0 и 1.1.

Вопрос

Что такое HSTS Preload?

HSTS Preload — список доменов, встроенный в браузеры Chrome/Firefox/Safari, для которых HTTPS принудительно используется ещё до первого соединения. Полная защита от SSL-stripping.

Проверьте ваш сайт прямо сейчас

Бесплатный технический и кибер-аудит. 340+ параметров. Результат — за 2–5 минут.

Запустить аудит Как работает сервис