# Explicador de perfil SSL do F5

> Cole um perfil client-ssl ou server-ssl do tmsh e veja o papel dele, a matriz de protocolos TLS e uma análise de segurança cobrindo cadeia, renegociação, SNI, OCSP e TLS mútuo — tudo no seu navegador.

- Tool: https://ronutz.com/pt-BR/tools/f5-ssl-profile-explainer
- Family: TLS e transporte

---

## O que faz

Cole um perfil `client-ssl` ou `server-ssl` do tmsh e a ferramenta o explica: o papel do perfil, a matriz de versões de protocolo TLS que ele habilita e desabilita, e uma análise de segurança cobrindo a cadeia de certificados, a renegociação, o SNI, o OCSP stapling e o TLS mútuo. Ela analisa o perfil inteiramente no seu navegador e nunca contata um equipamento.

## Perfis do lado do cliente e do lado do servidor

Em um BIG-IP, o SSL é tratado por dois tipos de perfil, e a primeira coisa que a ferramenta diz é qual deles é este. Um perfil **client-ssl** termina o TLS vindo do cliente: o BIG-IP apresenta um certificado e descriptografa o tráfego. Um perfil **server-ssl** faz o oposto: ele inicia o TLS em direção ao membro do pool, recriptografando na saída. Uma implantação TLS full-proxy usa os dois, descriptografando do cliente para poder inspecionar ou direcionar o tráfego, e então recriptografando para o servidor. Saber o papel enquadra todo o resto do perfil.

## A matriz de protocolos

Quais versões de TLS um perfil permite é definido por seu campo `options`, que habilita ou desabilita versões específicas. A ferramenta apresenta isso como uma matriz clara para você ver num relance se, por exemplo, o TLS 1.0 e o 1.1, obsoletos pela RFC 8996, ainda estão habilitados, ou se o TLS 1.3 está ligado. Essa é frequentemente a coisa mais importante de verificar em um perfil SSL, e é fácil de ler errado na bitmask bruta de `options`.

## A análise de segurança

Além dos protocolos, a ferramenta avalia as partes do perfil que decidem quão seguro o TLS de fato é:

- o **certificado, a chave e a cadeia**, incluindo se a cadeia está completa;
- a **renegociação**, e se a renegociação segura (RFC 5746) é exigida;
- o **SNI** (RFC 6066), para servir o certificado certo quando vários nomes compartilham o perfil;
- o **OCSP stapling** (a extensão `status_request`, RFC 6066), que permite ao servidor fornecer sua própria prova de revogação; e
- a **validação de certificado de par**, que é como o TLS mútuo é configurado, em que o BIG-IP exige e verifica um certificado do cliente.

Cada um é classificado para que as configurações arriscadas se destaquem das sólidas.

## Como usar

Cole um bloco de perfil `client-ssl` ou `server-ssl` e leia seu papel, sua matriz de protocolos e a avaliação de segurança da cadeia, renegociação, SNI, OCSP e configurações de TLS mútuo. A análise é determinística e local.

## Standards and references

- [F5 tmsh — ltm profile client-ssl reference](https://clouddocs.f5.com/api/icontrol-rest/APIRef_tm_ltm_profile_client-ssl.html) - client-ssl profile fields
- [F5 tmsh — ltm profile server-ssl reference](https://clouddocs.f5.com/api/icontrol-rest/APIRef_tm_ltm_profile_server-ssl.html) - server-ssl profile fields
- [RFC 5746 — TLS Renegotiation Indication Extension](https://www.rfc-editor.org/rfc/rfc5746) - secure renegotiation
- [RFC 6066 — TLS Extensions: Server Name Indication and OCSP stapling](https://www.rfc-editor.org/rfc/rfc6066) - SNI, status_request (stapling)
- [RFC 8996 — Deprecating TLS 1.0 and TLS 1.1](https://www.rfc-editor.org/rfc/rfc8996) - protocol deprecation

## Related reading

- [Certificados, Chaves e Construção de Cadeia num Perfil SSL](https://ronutz.com/pt-BR/learn/f5-ssl-cert-key-chain.md): Um perfil client-ssl vincula um certificado de servidor à sua chave privada e, de forma crucial, a um bundle de cadeia que permite aos clientes construir um caminho até uma raiz confiável. O construto moderno cert-key-chain também permite que um perfil sirva vários tipos de certificado, escolhidos por cliente — a base de implantações RSA-mais-ECDSA e SNI.
- [Habilitando e Desabilitando Versões do TLS com o Campo options](https://ronutz.com/pt-BR/learn/f5-ssl-profile-protocol-options.md): O campo options de um perfil SSL é uma lista de flags, e as flags de protocolo funcionam por SUBTRAÇÃO: uma versão do TLS é oferecida a menos que uma flag no- correspondente a desabilite. Essa lógica de 'desabilitar, não habilitar' é uma fonte frequente de surpresa, e é onde mora a higiene de TLS 1.0/1.1.
- [Perfis Client SSL e Server SSL no BIG-IP](https://ronutz.com/pt-BR/learn/f5-clientssl-vs-serverssl.md): Um BIG-IP pode ficar no meio de uma conexão TLS e descriptografá-la. Um perfil client-ssl faz o BIG-IP ser o servidor TLS para o cliente; um perfil server-ssl o faz ser o cliente TLS para o pool. Saber qual lado cada perfil controla é a chave para designs de offload, bridging e recriptografia.
- [Renegociação, Renegociação Segura e OCSP Stapling](https://ronutz.com/pt-BR/learn/f5-ssl-renegotiation-and-ocsp.md): Três configurações do perfil SSL moldam a segurança do handshake depois da primeira mensagem: renegotiation decide se uma conexão pode renegociar, secure-renegotiation impõe a proteção da RFC 5746, e ocsp-stapling permite que o BIG-IP anexe uma prova de revogação fresca para que os clientes não precisem ligar para a CA.
- [TLS Mútuo com peer-cert-mode](https://ronutz.com/pt-BR/learn/f5-ssl-client-auth-mtls.md): A maior parte do TLS prova o servidor ao cliente. O TLS mútuo também prova o cliente ao servidor, e num BIG-IP isso é trabalho do peer-cert-mode mais um bundle de CA confiável. A lacuna a observar é a diferença entre solicitar um certificado de cliente e de fato exigir e validar um.
- [TLS pós-quântico no BIG-IP: híbridos ML-KEM do 17.5 ao 21.1](https://ronutz.com/pt-BR/learn/bigip-post-quantum-tls.md): A história pós-quântica do BIG-IP é uma linhagem: a troca de chaves híbrida X25519MLKEM768 chegou na era do 17.5.0, e o 21.1.0 completa a família de curvas NIST com SecP256r1MLKEM768 e SecP384r1MLKEM1024, no TLS do lado do cliente e do lado do servidor, conforme o FIPS 203. Ao redor, o 21.1 torna o lado clássico mais rápido e mais estrito: aceleração de hardware do X25519 via Intel QAT ligada por padrão, perfis SSL pai com padrão TLS 1.3 e DTLS 1.2, nonce em requisições OCSP e melhorias no C3D. Aqui está o que cada peça significa e como implantar sem quebrar um único cliente legado.
