«Вроде, работает» — это та реплика, которой не должна заканчиваться процедура настройки сервера. Чтобы удостовериться, что на твоем сайте верно сконфигурированы сертификаты и заголовки HTTP, можешь воспользоваться этими утилитами. Никто, впрочем, не запрещает проверить ими и чужой сайт.
Разработчик сервиса SecurityHeaders.io рассказывает, что потребность в проверке заголовков однажды возникла у него самого. Решив свою задачу, он подумал, что это неплохая идея для публично доступного сервиса. Пользоваться им просто: указываешь адрес сайта, жмешь Scan и среди результатов видишь заголовки ответа сервера, а также краткий анализ того, каких важных для безопасности полей не хватает. К примеру, отсутствие заголовка X-XSS-Protection будет означать, что сайт не просит браузеры включать фильтр XSS, а без Strict-Transport-Security (HSTS) повышается вероятность утечки сессий и атак типа MitM.
Сервис SSL Server Test, разработанный в Qualys SSL Labs, похожим образом проводит проверку сертификатов SSL и выдает подробнейший отчет о ключах и поддерживаемых методах шифрования. Он даже симулирует хендшейки в разных браузерах и операционных системах.
Оба сервиса заканчивают свою работу выставлением оценки (от F до A+). По умолчанию она будет отображаться в таблице рекордов на главной странице, но до начала сканирование эту опцию можно и отменить.
