logo
GeekFormat

SSL-Zertifikatsprüfer

Zertifikatsonde

TLS-Handshake direkt vom Server aus starten, Zertifikat lesen, Protokoll aushandeln und verbleibende Gültigkeit prüfen.

Prüfen Sie SSL/TLS-Zertifikate online. Geben Sie eine Domain ein, um Zertifikatsgültigkeit, Domain-Übereinstimmung, verbleibende Tage, TLS-Version, Cipher Suites und SAN-Liste anzuzeigen. Handshake wird vom Backend initiiert, keine CORS-Probleme.

Ähnliche Tools

Anwendungsfälle

  • Schnell überprüfen, ob HTTPS vor Website-Einführung oder nach Zertifikatserneuerung ordnungsgemäß funktioniert
  • Zertifikatsablaufwarnungen: Regelmäßig verbleibende Tage prüfen, um Zugriffsunterbrechungen durch unerwarteten Ablauf zu vermeiden
  • Browser-HTTPS-Fehler beheben: Feststellen, ob es sich um Ablauf, Domain-Nichtübereinstimmung oder Zertifikatskettenproblem handelt
  • Überprüfen, ob Edge-Node-Zertifikate nach CDN/Reverse-Proxy-Bereitstellung korrekt geladen sind
  • Prüfen, ob TLS-Protokollversionen und Cipher Suites die Sicherheitskonformitätsanforderungen erfüllen
  • Überprüfen, ob die SAN-Liste nach der Bereitstellung von Multidomain-Zertifikaten alle Zieldomains abdeckt

Funktionen

  • Backend-TLS-Handshake: Initiiert TLS-Verbindung direkt vom Server, keine Browser-CORS-Einschränkungen, kann jede öffentliche Domain prüfen
  • Sofortige Beurteilung des Autorisierungsstatus: Zertifikatsgültigkeit, Domain-Übereinstimmung, Autorisierungsfehlerinformationen auf einen Blick
  • Farbwarnungen für verbleibende Tage: >30 Tage Grün, 7-30 Tage Gelb, <7 Tage Rot zur schnellen Beurteilung des Erneuerungszeitpunkts
  • Kernkonfigurationsübersicht: TLS-Protokollversion, Cipher Suite, ALPN-Protokollverhandlungsergebnisse direkt sichtbar
  • Vollständige SAN-Listenanzeige: Alle alternativen Antragstellernamen werden als Tags aufgelistet, bei mehr als 8 erweiterbar, um alle anzuzeigen
  • Doppelte Fingerabdrücke Ein-Klick-Kopie: SHA-1- und SHA-256-Fingerabdrücke separat angezeigt mit Ein-Klick-Kopieunterstützung
  • Vollständiger JSON-Export: Erweiterbar zur Anzeige der vollständigen Zertifikat-JSON-Struktur, unterstützt Ein-Klick-Kopie für tiefe Fehlerbehebung und Archivierung

Anleitung

  1. Geben Sie die zu prüfende Domain ein (z.B. geekformat.com, ohne https://-Präfix)
  2. Klicken Sie auf die Schaltfläche 'Zertifikat prüfen' und warten Sie 1-3 Sekunden auf TLS-Handshake-Ergebnisse
  3. Zuerst den Autorisierungsstatus (grün gültig/rot ungültig) und die Farbe der verbleibenden Tage prüfen
  4. Prüfen, ob TLS-Version, Cipher und ALPN-Verhandlung den Erwartungen entsprechen
  5. Subject/Issuer, Gültigkeitsdauer, SAN-Liste anzeigen, um die Korrektheit der Zertifikatsinformationen zu bestätigen
  6. Für tiefe Fehlerbehebung JSON-Details erweitern, um die vollständige Zertifikatsstruktur anzuzeigen und zur Archivierung zu kopieren

Häufig gestellte Fragen

Warum muss ich SSL-Zertifikate prüfen?

Zertifikatsablauf, Domain-Nichtübereinstimmungen und Konfigurationsfehler sind die häufigsten Ausfallarten bei HTTPS-Websites. Nach Ablauf zeigen Browser eine 'Nicht sicher'-Warnung an, die zu Besucherabwanderung führt, und das Google-Suchranking wird ebenfalls beeinträchtigt. Regelmäßige Prüfung und vorzeitige Erneuerung sind grundlegende DevOps-Aufgaben, um den normalen HTTPS-Betrieb zu gewährleisten.

Was ist der Unterschied zwischen diesem Prüfer und SSL Labs?

SSL Labs führt eine Tiefenbewertung durch (einschließlich umfassender Tests von Protokollen, Suiten, Schwachstellen, dauert etwa 2 Minuten), während dieses Tool schnelle Basisprüfungen durchführt (Ergebnisse in 1-3 Sekunden), Kerninformationen wie Zertifikatsgültigkeit, Ablauf, TLS-Version, Cipher Suites und SAN-Liste abdeckt und für schnelle Validierung vor der Einführung, Erneuerungsbestätigung und Fehlerbehebung geeignet ist.

Warum können Browser direkt zugreifen, aber dieses Tool schlägt bei der Prüfung fehl?

Mögliche Ursachen: 1) Website blockiert ausländische IPs (Prüfserver befinden sich im Ausland); 2) Server führt SNI-Unterscheidung durch, aber die Konfiguration ist unvollständig; 3) Verwendet ein selbstsigniertes Intranet-Zertifikat; 4) Firewall blockiert Prüfknoten. Ein Prüffehlschlag bedeutet nicht, dass das Zertifikat Probleme hat; dies muss anhand spezifischer Fehlermeldungen beurteilt werden.

Was ist der Unterschied zwischen TLS 1.2 und TLS 1.3?

TLS 1.3 (2018, RFC 8446) ist die neueste Version, mit einer Handshake-Geschwindigkeit von 2-RTT bei TLS 1.2 auf 1-RTT oder sogar 0-RTT verbessert, unsichere Algorithmen wie RSA-Schlüsselaustausch, RC4 und SHA-1 entfernt, Forward Secrecy standardmäßig aktiviert, mit deutlichen Verbesserungen sowohl bei Sicherheit als auch Leistung. Bei neuen Bereitstellungen wird empfohlen, TLS 1.3-Unterstützung zu priorisieren und TLS 1.2 für die Kompatibilität mit alten Clients beizubehalten.

Wie viele Tage vor Zertifikatsablauf sollte ich erneuern?

Es wird empfohlen, 30 Tage vor Ablauf mit der Erneuerungsvorbereitung zu beginnen und die Bereitstellung mindestens 7 Tage im Voraus abzuschließen. Das Tool verwendet Farbwarnungen: >30 Tage Grün (Normal), 7-30 Tage Gelb (sollte erneuern), <7 Tage Rot (Dringend). Let's Encrypt-Zertifikate haben eine Gültigkeit von 90 Tagen; es wird empfohlen, die automatische Erneuerung zu konfigurieren.

Let's Encrypt

Was ist eine SAN-Liste und warum ist sie wichtig?

SAN (Subject Alternative Name, alternativer Antragstellername) ist eine Liste von Domains/IPs, die für die Verwendung im Zertifikat deklariert sind. Moderne Browser (Chrome 58+) vertrauen dem Common Name(CN)-Feld nicht mehr und prüfen nur SAN. Wenn die aufgerufene Domain nicht in der SAN-Liste steht, melden Browser einen 'Namensübereinstimmungsfehler'. Ein Zertifikat kann mehrere Domains über SAN abdecken (z.B. example.com, www.example.com, api.example.com).

Warum Zertifikats-Fingerabdrücke anzeigen?

Zertifikats-Fingerabdrücke (SHA-1/SHA-256) sind Hash-Werte des Zertifikatsinhalts, verwendbar für HPKP (veraltet), Certificate Pinning und manuelle Überprüfung, ob bereitgestellte Zertifikate den Erwartungen entsprechen — beispielsweise bestätigen, ob CDN neue Zertifikate korrekt geladen hat, oder ob Zertifikate zwischen mehreren Servern identisch sind. Hinweis: SHA-1-Fingerabdrücke dienen nur zur Identifizierung und sollten nicht für Sicherheitsüberprüfungen verwendet werden.

Was ist SSL/TLS-Zertifikatsprüfung?

Die SSL/TLS-Zertifikatsprüfung ist der Prozess, einen TLS-Handshake vom Client zu initiieren, um die vom Zielserver zurückgegebenen Zertifikatsinformationen abzurufen und zu analysieren und dadurch zu bestimmen, ob die HTTPS-Konfiguration korrekt ist. Kernprüfpunkte umfassen: ob das Zertifikat innerhalb seiner Gültigkeitsdauer liegt, ob die aufgerufene Domain in der Zulassungsliste des Zertifikats steht (SAN-Übereinstimmung), ob die Zertifikatskette vollständig und vertrauenswürdig ist, ob die verwendete TLS-Protokollversion und Cipher Suites sicher sind usw.

**Warum ist die Zertifikatsprüfung so wichtig?** SSL-Zertifikate sind die Vertrauensgrundlage von HTTPS. Sobald Probleme mit dem Zertifikat auftreten (am häufigsten ist der Ablauf), blockieren Browser den Zugriff direkt und zeigen eine rote Warnseite 'Ihre Verbindung ist nicht privat', was direkten Schaden für Website-Traffic, Konversionsraten, SEO-Ranking und Markenvertrauen verursacht. Laut Überwachung ist der Zertifikatsablauf die häufigste Ursache für HTTPS-Ausfälle und macht über 40% aller HTTPS-Vorfälle aus.

**Wie unterscheidet sich dies vom direkten Zugriff in einem Browser?** Browserzugriff kann aufgrund von Cache, HSTS, Unternehmensproxys, Client-Zertifikaten usw. Abweichungen aufweisen; während Zertifikatsprüftools Standard-TLS-Handshakes von unabhängigen Knoten initiieren und objektive, standardisierte Zertifikatsinformationen zurückgeben, die für DevOps-Validierungsszenarien geeignet sind. Dieses Tool initiiert TLS-Handshakes direkt von Backend-Servern, **ohne Browser-CORS-Einschränkungen**, und kann jede öffentlich erreichbare HTTPS-Domain prüfen.

**Kerninformationen, die dieses Tool prüft**: Zertifikatsautorisierungsstatus (gültig oder nicht), spezifische authorizationError-Fehlermeldungen, TLS-Protokollversion (TLS 1.2/1.3), ausgehandelte Cipher Suite, ALPN-Protokollverhandlungsergebnisse (h2/http/1.1), Zertifikatsaussteller (Subject/Issuer), Gültigkeitsbeginn und -ende (validFrom/validTo), verbleibende Tage (mit Farbwarnungen), SAN-Liste der alternativen Antragstellernamen, SHA-1/SHA-256-Fingerabdrücke, Antwortzeit und vollständige JSON-Details.

Prüfergebnisse werden normalerweise in 1-3 Sekunden zurückgegeben, geeignet für Szenarien wie schnelle Validierung vor der Einführung, Erneuerungsbestätigung und Fehlerbehebung. Für eine Tiefenbewertung (wie die A+-F-Bewertung von SSL Labs einschließlich Renegotiation, Schwachstellentests, Protokollunterstützung usw.) wird empfohlen, zusammen mit SSL Labs Server Test zu verwenden.

术语表

SSL/TLS
SSL (Secure Sockets Layer) ist ein von Netscape in den 1990er Jahren entwickeltes Verschlüsselungsprotokoll, später von der IETF standardisiert und in TLS (Transport Layer Security) umbenannt. SSL 3.0 und frühere Versionen sind alle veraltet; derzeit werden TLS 1.2 und TLS 1.3 tatsächlich verwendet, aber gewohnheitsmäßig wird immer noch oft 'SSL-Zertifikat' genannt.
HTTPS
HTTP über TLS, fügt eine TLS-Verschlüsselungsschicht zwischen HTTP und TCP hinzu, um Datenverschlüsselung, Serverauthentifizierung und Inhaltsintegritätsschutz bereitzustellen. Google-Suche gibt HTTPS-Sites Ranking-Gewichtung, und Chrome markiert nicht-HTTPS-Sites als 'Nicht sicher'.
SAN (Subject Alternative Name)
X.509-Zertifikatserweiterungsfeld, das alle Domainnamen und IP-Adressen auflistet, die für dieses Zertifikat zulässig sind. Moderne Browser (Chrome 58+) prüfen nur SAN und sehen Common Name (CN) nicht mehr an. Ein SAN-Zertifikat kann mehrere Domains gleichzeitig schützen.
Zertifikatskette (Certificate Chain)
Die Vertrauenskette vom Blattzertifikat (Serverzertifikat) zum Zwischen-CA-Zertifikat und dann zum Root-CA-Zertifikat. Der Server muss Blattzertifikat + Zwischenzertifikat senden; Browser überprüfen die Kettenintegrität über vorinstallierte Root-Zertifikate. Fehlende Zwischenzertifikate sind ein häufiger Konfigurationsfehler.
ALPN (Application-Layer Protocol Negotiation)
TLS-Erweiterung, die die Aushandlung von Anwendungsschichtprotokollen während des TLS-Handshakes ermöglicht (z.B. h2 für HTTP/2, http/1.1 für HTTP/1.1, h3 für HTTP/3). Nach Abschluss des Handshakes wird das ausgehandelte Protokoll direkt ohne zusätzliche Roundtrips verwendet.
Cipher Suite(Verschlüsselungssuite)
Ein Satz von Verschlüsselungsalgorithmenkombinationen, die während des TLS-Handshakes ausgehandelt werden, einschließlich Schlüsselaustauschalgorithmus, Authentifizierungsalgorithmus, symmetrischem Verschlüsselungsalgorithmus und Hash-Algorithmus, wie TLS_AES_256_GCM_SHA384. Sichere Konfigurationen sollten AEAD-Suiten (wie GCM, ChaCha20-Poly1305) priorisieren.
Let's Encrypt
Eine von ISRG betriebene kostenlose, automatisierte und offene Zertifizierungsstelle (CA), offiziell gestartet im Jahr 2016, hat über 3 Milliarden Zertifikate ausgestellt und die Hürden für die HTTPS-Bereitstellung deutlich gesenkt. Zertifikate haben eine Gültigkeit von 90 Tagen mit automatischer Erneuerung über das ACME-Protokoll.Let's Encrypt Offizielle Website
Fingerabdruck (Fingerprint)
Hash-Wert, berechnet aus dem DER-codierten Inhalt des Zertifikats, üblicherweise SHA-1 und SHA-256. Fingerabdrücke identifizieren ein Zertifikat eindeutig, verwendbar für Certificate Pinning und Multiknoten-Konsistenzprüfung. SHA-1 wird wegen Kollisionsrisiken nicht mehr für Sicherheitszwecke empfohlen, bleibt aber weit verbreitet zur Identifizierung.
SNI (Server Name Indication)
TLS-Erweiterung, bei der der Client während des Handshakes den Zieldomainnamen sendet, sodass Server auf derselben IP mehrere Zertifikate für verschiedene Domains bereitstellen können (ähnlich dem HTTP-Host-Header). SNI ist die Grundlage für modernes Virtual-Host-HTTPS; Server ohne konfiguriertes SNI geben das Standardzertifikat zurück, was Namensübereinstimmungsfehler verursachen kann.
Forward Secrecy / PFS
Eine Sicherheitseigenschaft: Selbst wenn der private Serverschlüssel später kompromittiert wird, kann zuvor aufgezeichneter verschlüsselter Sitzungsverkehr nicht entschlüsselt werden. Implementiert über ephemere Schlüsselaustauschalgorithmen wie ECDHE, ist es für TLS 1.3 obligatorisch und ein empfohlener Standard für moderne Sicherheitskonfigurationen.

Geschichte und aktueller Status der TLS-Protokollversionen

ProtokollversionVeröffentlichungsjahrAktueller StatusAnmerkungen
SSL 1.0-3.01995-1996❌ Veraltet/UnsicherEnthält kritische Schwachstellen wie POODLE; von allen modernen Browsern deaktiviert
TLS 1.01999❌ VeraltetBEAST-, CRIME-Schwachstellen; seit PCI DSS 2018 verboten
TLS 1.12006❌ VeraltetIn RFC 8996 offiziell veraltet; Chrome/Firefox haben Unterstützung 2020 entfernt
TLS 1.22008⚠️ Weit verbreitet (Übergang)Derzeit am weitesten verbreitet mit bester Kompatibilität, birgt aber Risiken einiger schwacher Cipher Suites
TLS 1.32018 (RFC 8446)✅ EmpfohlenSchnellerer Handshake (1-RTT/0-RTT), schwache Algorithmen entfernt, von modernen Browsern bevorzugt

Farbwarnungen für Zertifikatsablauf und Handlungsempfehlungen

Verbleibende TageStatusfarbeEmpfohlene Maßnahme
>30 Tage🟢 Grün (Normal)Keine Maßnahme erforderlich; regelmäßig prüfen
7-30 Tage🟡 Gelb (Warnung)Erneuerungsprozess so schnell wie möglich starten, um Austausch vor Ablauf sicherzustellen
<7 Tage🔴 Rot (Dringend)Sofort erneuern; Browser blockieren den Zugriff nach Ablauf
0 Tage/Abgelaufen🔴 Rot (Abgelaufen)Zertifikat ist ungültig; Benutzer sehen Sicherheitswarnungen und es muss umgehend behoben werden

Fehlerbehebung bei häufigen SSL-Fehlertypen

FehlertypHäufige UrsachenLösungsrichtung
Zertifikat abgelaufen (expired)Zertifikat wurde nach validTo-Datum nicht erneuertSofort erneuern und neues Zertifikat bereitstellen
Namensübereinstimmungsfehler (name mismatch)Aktuell aufgerufene Domain nicht in der SAN-Liste des ZertifikatsZertifikat mit Zieldomain neu ausstellen oder CDN-Ursprungskonfiguration überprüfen
Unvollständige Kette (incomplete chain)Server hat Zwischenzertifikate nicht korrekt konfiguriertZwischenzertifikat kombiniert mit Blattzertifikat bereitstellen
Selbstsigniertes Zertifikat (self-signed)Zertifikat wurde von einer privaten CA ausgestellt, ist nicht öffentlich vertrauenswürdigÖffentlich vertrauenswürdige CA wie Let's Encrypt zur Zertifikatsausstellung verwenden
Nicht vertrauenswürdiger Aussteller (untrusted issuer)CA-Root-Zertifikat befindet sich nicht im Vertrauensspeicher des BrowsersDurch ein von einer vertrauenswürdigen CA ausgestelltes Zertifikat ersetzen

Authoritative References