SSL Server Test и SecurityHeaders.io — онлайн средства выявления небезопасных настроек сайта

https://securityheaders.io/

https://www.ssllabs.com/ssltest/

 «Вроде работает» — та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими онлайн-утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.
Разработчик сервиса SecurityHeaders.io рассказывает, что потребность в проверке заголовков однажды возникла у него самого.
Решив свою задачу, он подумал, что это неплохая идея для публично доступного сервиса.

Пользоваться им просто: указываешь адрес сайта, жмешь Scan и среди результатов видишь заголовки ответа сервера, а также краткий анализ того, каких важных для безопасности полей не хватает. К примеру, отсутствие заголовка X-XSS-
Protection будет означать, что сайт не просит браузеры включать фильтр XSS, а без Strict-Transport-Security (HSTS) повышается ве-
роятность утечки сессий и атак типа MITM.

Сервис SSL Server Test, разработанный в Qualys SSL Labs, похожим образом проводит проверку сертификатов SSL и выдает подробнейший отчет о ключах и поддерживаемых методах шифрования.
Он даже симулирует хендшейки в разных браузерах и операционных системах.
Оба сервиса заканчивают свою работу выставлением оценки (от F до A+). По умолчанию она будет отображаться в таблице рекордов на главной странице, но до начала сканирования эту опцию можно и отменить.