logo
GeekFormat

Verificador de Certificats SSL

Sonda de certificat

Iniciar handshake TLS directament des del servidor, llegir el certificat, negociar el protocol i la validesa restant.

Verifiqueu certificats SSL/TLS en línia, introduïu un domini per veure si el certificat és vàlid, si el domini coincideix, els dies restants, la versió TLS, els conjunts de xifratge i la llista SAN, el backend inicia l'encaix sense problemes de CORS.

Relacionats

Casos d'ús

  • Verificació ràpida que HTTPS funciona correctament abans del llançament del lloc web/després de la renovació del certificat
  • Avís de caducitat del certificat: Comproveu periòdicament els dies restants per evitar interrupcions d'accés per caducitat inesperada
  • Resolució d'errors HTTPS al navegador: Determineu si es tracta d'un problema de caducitat, de domini que no coincideix o de cadena de certificats
  • Verificació que els certificats dels nodes de vora s'han carregat correctament després del desplegament de CDN/proxy invers
  • Comprovació que la versió del protocol TLS i els conjunts de xifratge compleixen els requisits de seguretat i compliment
  • Verificació que la llista SAN cobreix tots els dominis objectiu després del desplegament de certificats multidomini

Característiques

  • Encaix TLS del backend: Inicia la connexió TLS directament des del servidor, sense restriccions CORS del navegador, pot comprovar qualsevol domini públic
  • Avaluació instantània de l'estat d'autorització: Si el certificat és vàlid, si el domini coincideix i la informació d'error d'autorització són visibles a cop d'ull
  • Avisos de color per als dies restants: >30 dies verd, 7-30 dies groc, <7 dies vermell, avalueu ràpidament el moment de renovació
  • Configuració clau a cop d'ull: La versió del protocol TLS, el Cipher i els resultats de la negociació ALPN són visibles directament
  • Visualització completa de la llista SAN: Tots els Subject Alternative Name es llisten com a etiquetes, més de 8 es poden expandir per veure'ls tots
  • Còpia de doble empremta digital amb un sol clic: Les empremtes digitals SHA-1 i SHA-256 es mostren per separat i admeten la còpia amb un sol clic
  • Exportació JSON completa: Es pot expandir per veure l'estructura JSON completa del certificat, admet la còpia amb un sol clic per a la investigació profunda i l'arxiu

Com usar-ho

  1. Introduïu el domini que cal comprovar (per exemple geekformat.com, sense el prefix https://)
  2. Feu clic al botó "Comprova el certificat", espereu 1-3 segons per obtenir els resultats de l'encaix TLS
  3. Primer veureu l'estat d'autorització (verd vàlid/vermell no vàlid) i el color dels dies restants
  4. Comproveu si la versió TLS, el Cipher i la negociació ALPN compleixen les expectatives
  5. Vegeu Subject/Issuer, el període de validesa i la llista SAN per confirmar que la informació del certificat és correcta
  6. Si cal una investigació profunda, expandiu els detalls JSON per veure l'estructura completa del certificat i copieu-la per arxivar-la

Preguntes freqients

Per què cal verificar els certificats SSL?

Els certificats SSL caducats, els dominis que no coincideixen i els errors de configuració són els tipus de fallada més habituals per als llocs web HTTPS. Després que un certificat hagi caducat, els navegadors mostraran un avís "no segur" que fa que els visitants se'n vagin, i el rànquing de cerca de Google també es veurà afectat. La comprovació periòdica i la renovació anticipada són tasques de manteniment bàsiques per garantir que HTTPS funcioni correctament.

Quina diferència hi ha entre la verificació de certificats i SSL Labs?

SSL Labs fa una puntuació profunda (incloent proves completes de protocols, conjunts, vulnerabilitats, triga uns 2 minuts), aquesta eina fa una comprovació bàsica ràpida (els resultats tornen en 1-3 segons), cobreix informació clau com la validesa del certificat, el període de validesa, la versió TLS, els conjunts de xifratge, la llista SAN, apta per a la verificació ràpida abans del llançament, la confirmació de renovació i la resolució de problemes.

Per què els navegadors poden accedir directament però la comprovació amb aquesta eina falla?

Possibles causes: 1) El lloc web bloqueja les adreces IP estrangeres (el servidor de comprovació és a l'estranger); 2) El servidor fa distinció SNI però la configuració és incompleta; 3) S'està utilitzant un certificat autosignat per a la intranet corporativa; 4) El tallafocs bloqueja els nodes de comprovació. Que la comprovació falli no vol dir que el certificat tingui problemes, cal avaluar-ho segons la informació d'error específica.

Quina diferència hi ha entre TLS 1.2 i TLS 1.3?

TLS 1.3 (2018, RFC 8446) és la versió més recent, la velocitat de l'encaix s'ha millorat de 2-RTT a TLS 1.2 a 1-RTT fins i tot 0-RTT, s'han eliminat algoritmes insegurs com l'intercanvi de claus RSA, RC4, SHA-1, Forward Secrecy s'activa per defecte, la seguretat i el rendiment han millorat notablement. Els nous desplegaments haurien de donar suport preferentment a TLS 1.3 i mantenir TLS 1.2 per a la compatibilitat amb clients antics.

Quants dies abans que caduqui el certificat s'ha de renovar?

Es recomana començar a preparar la renovació 30 dies abans que caduqui, i completar el desplegament almenys 7 dies abans. L'eina utilitza avisos de color: >30 dies verd (normal), 7-30 dies groc (caldria renovar), <7 dies vermell (urgent). Els certificats Let's Encrypt tenen una validesa de 90 dies, es recomana configurar la renovació automàtica.

Let's Encrypt

Què és la llista SAN? Per què és important?

SAN (Subject Alternative Name) és la llista de dominis/IP al certificat que es permet utilitzar. Els navegadors moderns (Chrome 58+) ja no confien en el camp Common Name(CN), només comproven SAN. Si el domini que s'està visitant no és a la llista SAN, els navegadors informaran d'un error "el domini no coincideix". Un certificat pot cobrir diversos dominis mitjançant SAN (per exemple example.com, www.example.com, api.example.com).

Per què cal veure les empremtes digitals del certificat?

Les empremtes digitals del certificat (SHA-1/SHA-256) són valors hash del contingut del certificat, es poden utilitzar per a HPKP (obsolet), Certificate Pinning, i per verificar manualment si el certificat desplegat coincideix amb l'esperat, per exemple confirmar si el CDN ha carregat correctament el nou certificat, o comparar certificats entre diversos servidors. Nota: Les empremtes digitals SHA-1 només s'utilitzen per a la identificació, no s'han d'utilitzar per a la verificació de seguretat.

Què és la verificació de certificats SSL/TLS?

La verificació de certificats SSL/TLS és el procés d'iniciar un encaix TLS des del client, obtenir i analitzar la informació del certificat retornada pel servidor objectiu, per determinar si la configuració HTTPS és correcta. Els elements de comprovació clau inclouen: si el certificat està dins del període de validesa, si el domini visitat és a la llista permesa del certificat (coincidència SAN), si la cadena de certificats és completa i fiable, si la versió del protocol TLS i els conjunts de xifratge utilitzats són segurs, etc.

**Per què la verificació de certificats és tan important?** Els certificats SSL són la base de confiança d'HTTPS. Quan un certificat té problemes (el més habitual és que caduqui), els navegadors blocaran immediatament l'accés i mostraran una pàgina d'avís vermella "La vostra connexió no és privada", cosa que causa danys directes al trànsit del lloc web, les taxes de conversió, el rànquing SEO i la confiança en la marca. Segons el monitoratge, la caducitat dels certificats és la causa més habitual de fallades d'HTTPS, representant més del 40% de tots els incidents d'HTTPS.

**Quina diferència hi ha amb l'accés directe al navegador?** L'accés del navegador pot estar influït per la memòria cau, HSTS, proxys corporatius, certificats de client i altres factors que causen desviacions; mentre que les eines de verificació de certificats inicien un encaix TLS estàndard des d'un node independent i retornen informació de certificat objectiva i estandarditzada, adequada per a escenaris de verificació operativa. Aquesta eina inicia els encaixos TLS directament des del servidor backend, **sense restriccions CORS del navegador**, i pot comprovar qualsevol domini HTTPS accessible públicament.

**Informació clau que aquesta eina comprova**: Estat d'autorització del certificat (si és vàlid o no), informació d'error authorizationError específica, versió del protocol TLS (TLS 1.2/1.3), conjunt de xifratge negociat (Cipher), resultat de la negociació del protocol ALPN (h2/http/1.1), emissor del certificat (Subject/Issuer), dates de validesa (validFrom/validTo), dies restants (amb avisos de color), llista SAN Subject Alternative Name, empremtes digitals SHA-1/SHA-256, temps de resposta i detalls JSON complets.

Els resultats normalment es retornen en 1-3 segons, adequats per a escenaris com la verificació ràpida abans del llançament, la confirmació de renovació, la resolució de problemes, etc. Si necessiteu una puntuació profunda (com la classificació A+-F de SSL Labs, incloent renegociació, proves de vulnerabilitats, nivell de suport de protocols, etc.), es recomana utilitzar-la juntament amb SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) és un protocol de xifratge desenvolupat per Netscape als anys 90, posteriorment estandarditzat per l'IETF i rebatejat com a TLS (Transport Layer Security). SSL 3.0 i les versions anteriors estan totes obsoletes, actualment les que s'utilitzen realment són TLS 1.2 i TLS 1.3, però per costum encara se solen anomenar "certificats SSL".
HTTPS
HTTP over TLS, afegeix una capa de xifratge TLS entre HTTP i TCP, proporciona xifratge de dades, autenticació del servidor i protecció de la integritat del contingut. La cerca de Google dóna pes als llocs HTTPS, Chrome marca els llocs no HTTPS com a "no segurs".
SAN (Subject Alternative Name)
Camp d'extensió del certificat X.509, que llista tots els dominis i adreces IP que es permet utilitzar amb aquest certificat. Els navegadors moderns (Chrome 58+) només comproven SAN i ja no miren el Common Name(CN). Un certificat SAN pot protegir diversos dominis alhora.
Cadena de Certificats (Certificate Chain)
La cadena de confiança des del certificat fulla (certificat de servidor) fins al certificat CA intermedi, i després fins al certificat CA arrel. El servidor ha d'enviar el certificat fulla + els certificats intermedis, els navegadors verifiquen la integritat de la cadena mitjançant els certificats arrel preinstal·lats. Falten certificats intermedis és un error de configuració habitual.
ALPN (Application-Layer Protocol Negotiation)
Extensió TLS, permet negociar protocols de capa d'aplicació durant la fase d'encaix TLS (per exemple h2 per a HTTP/2, http/1.1 per a HTTP/1.1, h3 per a HTTP/3). Després que l'encaix s'hagi completat, el protocol negociat s'utilitza directament, sense necessitat de viatges addicionals d'anada i tornada.
Cipher Suite (conjunt de xifratge)
Un conjunt d'algoritmes de xifratge negociats durant l'encaix TLS, format per algorisme d'intercanvi de claus, algorisme d'autenticació, algorisme de xifratge simètric i algorisme hash, per exemple TLS_AES_256_GCM_SHA384. Les configuracions segures haurien d'utilitzar preferentment conjunts AEAD (com GCM, ChaCha20-Poly1305).
Let's Encrypt
Una autoritat de certificació (CA) gratuïta, automatitzada i oberta operada per ISRG, llançada oficialment el 2016, ha emès més de 3.000 milions de certificats i ha reduït significativament el llindar de desplegament d'HTTPS. Els certificats tenen una validesa de 90 dies i es renoven automàticament mitjançant el protocol ACME.Lloc web de Let's Encrypt
Empremta Digital del Certificat (Fingerprint)
Valor hash calculat sobre el contingut codificat DER del certificat, habitualment SHA-1 i SHA-256. Les empremtes digitals s'utilitzen per identificar un certificat de manera única, per a Certificate Pinning i per a la verificació de consistència entre múltiples nodes. SHA-1 no es recomana per a finalitats de seguretat a causa del risc de col·lisió, però encara s'utilitza àmpliament per a la identificació.
SNI (Server Name Indication)
Extensió TLS, on el client ja envia el domini que vol visitar durant la fase d'encaix, permetent que un servidor amb la mateixa IP pugui desplegar diversos certificats per a diferents dominis (similar a la capçalera Host d'HTTP). SNI és la base de l'HTTPS de host virtual modern, els servidors sense configuració SNI retornaran el certificat per defecte, cosa que pot provocar errors de domini que no coincideix.
Forward Secrecy (PFS)
Una propietat de seguretat: fins i tot si la clau privada del servidor es filtra en el futur, el trànsit de sessió xifrat enregistrat anteriorment no es podrà desxifrar. Això s'aconsegueix mitjançant algoritmes d'intercanvi de claus temporals com ECDHE, és un requisit obligatori a TLS 1.3 i un estàndard recomanat per a les configuracions de seguretat modernes.

Historial i estat de les versions del protocol TLS

Versió del protocolAny de publicacióEstat actualNotes
SSL 1.0-3.01995-1996❌ Obsolet/insegurTé vulnerabilitats greus com POODLE, tots els navegadors moderns l'han desactivat
TLS 1.01999❌ ObsoletVulnerabilitats com BEAST, CRIME, prohibit des de PCI DSS 2018
TLS 1.12006❌ ObsoletOficialment obsolet a RFC 8996, Chrome/Firefox van eliminar el suport des del 2020
TLS 1.22008⚠️ Ampliament suportat (transició)Actualment el més desplegat, amb la millor compatibilitat, però amb risc d'alguns conjunts de xifratge febles
TLS 1.32018 (RFC 8446)✅ RecomanatEncaix més ràpid (1-RTT/0-RTT), eliminació d'algoritmes febles, primera opció per als navegadors moderns

Avisos de color per caducitat de certificats i recomanacions d'acció

Dies restantsColor d'estatAcció recomanada
>30 dies🟢 Verd (normal)No cal cap acció, només cal comprovar periòdicament
7-30 dies🟡 Groc (avís)Inicieu el procés de renovació el més aviat possible, assegureu-vos de completar la substitució abans que caduqui
<7 dies🔴 Vermell (urgent)Renueveu immediatament, després de caducar els navegadors blocaran l'accés
0 dies/caducat🔴 Vermell (caducat)El certificat no és vàlid, els usuaris veuran un avís de seguretat, cal tractar-lo immediatament

Resolució de problemes per als tipus d'error SSL habituals

Tipus d'errorCausa habitualDirecció de solució
Certificat caducat (expired)El certificat no s'ha renovat després de la data validToRenueveu a temps i desplegueu el nou certificat
El domini no coincideix (name mismatch)El domini actual no és a la llista SAN del certificatEmtene un nou certificat que contingui el domini objectiu, o comproveu la configuració de l'origen del CDN
Cadena de certificats incompleta (incomplete chain)El servidor no ha configurat correctament els certificats intermedisCombineu els certificats intermedis amb el certificat fulla per desplegar-los
Certificat autosignat (self-signed)El certificat ha estat signat per una CA privada, no és de confiança públicaUtilitzeu un certificat emès per una CA pública com Let's Encrypt
Emissor no fiable (untrusted issuer)El certificat arrel de la CA no és al magatzem de confiança del navegadorSubstituïu-lo per un certificat emès per una CA de confiança

Authoritative References