Інструменти мережевої діагностики
Перевірте заголовки відповіді, перенаправлення та безпеку
DNS та записи
Пошук DNS Усі записи DNS для будь-якого домену Пошук запису A IPv4-адреси домену Пошук запису AAAA IPv6-адреси домену Пошук MX Поштові сервери домену Пошук NS Авторитетні сервери імен Пошук TXT Записи TXT, SPF, верифікація Пошук CNAME Записи канонічного імені (псевдонім) Пошук SOA Запис Start of Authority Пошук SRV Записи розташування сервісів Пошук CAA Які CA можуть видавати сертифікати Зворотний DNS (PTR) IP-адреса до імені хоста Перевірка DNSSEC Чи підписаний і валідований домен? Перевірка стану DNS Повний звіт про делегування та стан DNSДоставлюваність пошти
Перевірка SPF Перевірте свій запис Sender Policy Framework Перевірка DMARC Перевірте та оцініть свою політику DMARC Перевірка DKIM Знайдіть і перевірте свій відкритий ключ DKIM Перевірка чорних списків Перевірте IP за поштовими чорними списками (DNSBL) Тест SMTP Підключіться до поштового сервера та перевірте STARTTLS Перевірка MTA-STS Примусова політика TLS для вхідної пошти Перевірка BIMI Запис логотипа бренду для пошти Перевірка TLS-RPT Політика звітності SMTP TLSМережа та веб
Перевірка SSL-сертифіката Перевірте TLS-сертифікат сайту та термін дії Перевірка заголовків HTTP Перевірте заголовки відповіді, перенаправлення та безпеку Ping (TCP) Доступність і затримка через TCP Перевірка портів Які поширені порти відкритіДомен
Пошук WHOIS Реєстраційні дані для доменів, IP та ASNHTTP-заголовки відповіді показують, як поводиться вебсервер: який код статусу він повертає, куди переадресовує, яке ПЗ використовує та які заголовки безпеки надсилає. Відсутні заголовки на кшталт HSTS, Content-Security-Policy чи X-Frame-Options залишають сайти вразливими до атак пониження, ін’єкцій і клікджекінгу. IPeek проходить весь ланцюжок переадресацій і оцінює відповідь за ключовими заголовками безпеки.
Кожна HTTP-відповідь починається з коду статусу й набору заголовків, перш ніж надійде тіло сторінки. Код статусу повідомляє клієнту, що сталося: 200 означає успіх, 301 і 302 — що ресурс переміщено, 404 — не знайдено, а 5xx — що сервер зазнав збою. Заголовки несуть метадані, як-от Content-Type, Server, Cache-Control, і директиви безпеки, що вказують браузеру, як обробляти сторінку. IPeek запитує URL, фіксує ці заголовки точно так, як їх надіслав сервер, і проходить кожну переадресацію, тож ви бачите повний шлях до кінцевої відповіді.
Спершу підтвердьте, що кінцевий код статусу — той, на який ви очікуєте, зазвичай 200 для живої сторінки. Потім пройдіть ланцюжок переадресацій: чисте налаштування переадресовує HTTP на HTTPS і будь-який неканонічний хост на канонічний за якомога меншу кількість кроків, адже кожна зайва переадресація додає затримку. Стежте за циклами переадресацій або ланцюжком, що приводить на хибний хост. Заголовок Server показує використовуване ПЗ, а оцінка заголовків безпеки одразу показує, які захисні заголовки присутні, а яких бракує.
Strict-Transport-Security (HSTS) змушує браузери використовувати HTTPS, запобігаючи атакам пониження. Content-Security-Policy обмежує, звідки можуть завантажуватися скрипти й ресурси, — це найсильніший захист від міжсайтового скриптингу. X-Frame-Options або директива CSP frame-ancestors блокує клікджекінг, контролюючи, хто може вбудовувати вашу сторінку. X-Content-Type-Options: nosniff зупиняє вгадування MIME-типу. Найпоширеніша прогалина — сайт, що не віддає жодного з цих заголовків, залишаючи браузер без додаткового захисту. Додайте їх на вебсервері чи CDN, а потім перевірте знову, щоб підтвердити, що вони з’являються в живій відповіді.
Перевіряйте заголовки після розгортання, після зміни CDN чи зворотного проксі, і щоразу, коли посилюєте безпеку сайту, адже саме в ці моменти заголовки додаються, видаляються чи перевизначаються. Це найшвидший спосіб підтвердити, що переадресація з HTTP на HTTPS справді працює, налагодити неочікуваний ланцюжок переадресацій або переконатися, що налаштований вами заголовок безпеки доходить до реальних браузерів, а не зрізається десь на шляху доставки.
Вона показує код статусу, ланцюжок переадресацій, серверне ПЗ та заголовки безпеки, які повертає сайт. Ви бачите, чи URL переадресовує правильно, скільки кроків це займає, який сервер відповідає та які захисні заголовки на кшталт HSTS і Content-Security-Policy присутні чи відсутні. Це робить її швидкою діагностикою як проблем маршрутизації, так і прогалин безпеки.
HTTP Strict-Transport-Security — це заголовок, який вказує браузерам підключатися лише через HTTPS протягом заданого періоду. Це важливо, бо запобігає атакам пониження та «людина посередині», коли зловмисник примушує до незахищеного з’єднання HTTP. Щойно браузер бачить HSTS, він відмовляється від звичайного HTTP до цього хоста, доки політика не закінчиться, закриваючи реальне вікно атаки.
Ланцюжки переадресацій зазвичай накопичуються, коли окремі правила кожне виправляє щось одне: HTTP на HTTPS, non-www на www і нормалізацію кінцевої косої риски. Кожен крок додає затримку й шанс на помилку. Згорніть їх в одну переадресацію на кінцевий канонічний URL, де це можливо, і стежте за циклами, де два правила пересилають запит туди-сюди.
Щонайменше надсилайте Strict-Transport-Security, Content-Security-Policy, X-Content-Type-Options: nosniff і захист від кадрування через X-Frame-Options чи CSP frame-ancestors. HSTS примушує HTTPS, CSP обмежує ін’єкцію скриптів, nosniff зупиняє плутанину з MIME, а захист від кадрування блокує клікджекінг. Разом вони покривають найпоширеніші класи атак на стороні браузера директивами, які ви налаштовуєте один раз на сервері чи CDN.
301 — це постійна переадресація, а 302 — тимчасова. 301 повідомляє браузерам і пошуковим системам, що ресурс переміщено назавжди, тож вони оновлюють закладки й передають сигнали ранжування на новий URL. 302 каже, що переміщення тимчасове, тож клієнти продовжують використовувати початковий URL. Використовуйте 301 для канонічних і HTTPS-переадресацій.