logo
GeekFormat

Vérificateur de Certificats SSL

Certificat de sonde

Initier la prise de contact TLS directement depuis le serveur, lire le certificat, négocier le protocole et la validité restante.

Vérifiez les certificats SSL/TLS en ligne. Entrez un domaine pour voir la validité du certificat, la correspondance de domaine, les jours restants, la version TLS, les suites de chiffrement et la liste SAN. Le handshake est initié depuis le backend sans problèmes CORS.

Recommandations connexes

Cas d'utilisation

  • Vérifier rapidement si HTTPS fonctionne correctement avant la mise en ligne du site web ou après le renouvellement du certificat
  • Alertes d'expiration de certificat : Vérifier périodiquement les jours restants pour éviter les interruptions d'accès par expiration inattendue
  • Résoudre les erreurs HTTPS du navigateur : Localiser s'il s'agit d'une expiration, d'une non-correspondance de domaine ou d'un problème de chaîne de certificats
  • Vérifier que les certificats des nœuds de périphérie sont correctement chargés après le déploiement CDN/proxy inverse
  • Vérifier si les versions du protocole TLS et les suites de chiffrement satisfont aux exigences de conformité de sécurité
  • Vérifier que la liste SAN couvre tous les domaines cibles après le déploiement de certificats multi-domaines

Fonctionnalités

  • Handshake TLS backend : Initie la connexion TLS directement depuis le serveur, sans restrictions CORS du navigateur, peut vérifier n'importe quel domaine public
  • Jugement instantané de l'état d'autorisation : Validité du certificat, correspondance de domaine, informations d'erreur d'autorisation en un coup d'œil
  • Alertes couleur jours restants : >30 jours vert, 7-30 jours jaune, <7 jours rouge pour jugement rapide du moment de renouvellement
  • Aperçu de la configuration centrale : Version du protocole TLS, suite de chiffrement (Cipher), résultats de négociation du protocole ALPN directement visibles
  • Affichage complet de la liste SAN : Tous les Noms Alternatifs du Sujet sont répertoriés sous forme d'étiquettes, extensibles pour voir tous s'il y en a plus de 8
  • Copie en un clic des doubles empreintes : Empreintes SHA-1 et SHA-256 affichées séparément avec support de copie en un clic
  • Export JSON complet : Extensible pour voir la structure JSON complète du certificat, supporte la copie en un clic pour le dépannage approfondi et l'archivage

Comment utiliser

  1. Entrez le domaine à vérifier (par exemple geekformat.com, sans le préfixe https://)
  2. Cliquez sur le bouton 'Vérifier le Certificat' et attendez 1-3 secondes pour les résultats du handshake TLS
  3. Vérifiez d'abord l'état d'autorisation (vert valide/rouge invalide) et la couleur des jours restants
  4. Vérifiez si la version TLS, Cipher et la négociation ALPN correspondent aux attentes
  5. Consultez Subject/Issuer, la période de validité, la liste SAN pour confirmer que les informations du certificat sont correctes
  6. Pour un dépannage approfondi, développez les détails JSON pour voir la structure complète du certificat et copiez pour archiver

FAQ

Pourquoi dois-je vérifier les certificats SSL ?

L'expiration des certificats, la non-correspondance de domaines et les erreurs de configuration sont les types de pannes les plus courants pour les sites web HTTPS. Après expiration, les navigateurs affichent un avertissement 'Non sécurisé' entraînant une perte de visiteurs, et le classement de recherche Google est également affecté. La vérification régulière et le renouvellement anticipé sont des tâches DevOps de base pour garantir le fonctionnement normal de HTTPS.

Quelle est la différence entre ce vérificateur et SSL Labs ?

SSL Labs effectue une notation approfondie (incluant des tests complets de protocoles, suites, vulnérabilités, prenant environ 2 minutes), tandis que cet outil effectue des vérifications de base rapides (retourne les résultats en 1-3 secondes), couvrant les informations centrales comme la validité du certificat, l'expiration, la version TLS, les suites de chiffrement et la liste SAN, adapté à la validation rapide avant mise en ligne, la confirmation de renouvellement et le dépannage.

Pourquoi les navigateurs peuvent-ils accéder directement mais cet outil échoue à vérifier ?

Causes possibles : 1) Le site web bloque les IP étrangères (les serveurs de vérification sont à l'étranger) ; 2) Le serveur fait une différenciation SNI mais la configuration est incomplète ; 3) Utilise un certificat auto-signé d'intranet d'entreprise ; 4) Le pare-feu bloque les nœuds de vérification. L'échec de vérification ne signifie pas que le certificat a des problèmes ; il faut juger en fonction des messages d'erreur spécifiques.

Quelle est la différence entre TLS 1.2 et TLS 1.3 ?

TLS 1.3 (2018, RFC 8446) est la dernière version, avec une vitesse de handshake améliorée de 2-RTT de TLS 1.2 à 1-RTT voire 0-RTT, supprimant les algorithmes non sécurisés comme l'échange de clés RSA, RC4 et SHA-1, activant Forward Secrecy par défaut, avec des améliorations significatives tant en sécurité qu'en performances. Pour les nouveaux déploiements, il est recommandé de prioriser le support de TLS 1.3 tout en conservant TLS 1.2 pour la compatibilité avec les anciens clients.

Combien de jours avant l'expiration du certificat dois-je renouveler ?

Il est recommandé de commencer la préparation du renouvellement 30 jours avant l'expiration et de terminer le déploiement au moins 7 jours à l'avance. L'outil utilise des alertes couleur : >30 jours vert (normal), 7-30 jours jaune (doit renouveler), <7 jours rouge (urgent). Les certificats Let's Encrypt ont une validité de 90 jours ; il est recommandé de configurer le renouvellement automatique.

Let's Encrypt

Qu'est-ce qu'une liste SAN et pourquoi est-elle importante ?

SAN (Subject Alternative Name, Nom Alternatif du Sujet) est une liste de domaines/IP déclarés autorisés à être utilisés dans le certificat. Les navigateurs modernes (Chrome 58+) ne font plus confiance au champ Common Name (CN) et ne vérifient que SAN. Si le domaine accédé n'est pas dans la liste SAN, les navigateurs signaleront une erreur de 'non-correspondance de nom'. Un certificat peut couvrir plusieurs domaines via SAN (par exemple example.com, www.example.com, api.example.com).

Pourquoi vérifier les empreintes de certificat ?

Les empreintes de certificat (SHA-1/SHA-256) sont des valeurs de hachage du contenu du certificat, utilisables pour HPKP (obsolète), l'épinglage de certificat (Certificate Pinning) et la vérification manuelle que les certificats déployés correspondent aux attentes — par exemple, confirmer si CDN a correctement chargé de nouveaux certificats ou vérifier si les certificats sont identiques entre plusieurs serveurs. Note : Les empreintes SHA-1 sont uniquement pour l'identification et ne doivent pas être utilisées pour la vérification de sécurité.

Qu'est-ce que la Vérification de Certificats SSL/TLS ?

La vérification de certificats SSL/TLS est le processus d'initier un handshake TLS depuis le client pour obtenir et analyser les informations de certificat renvoyées par le serveur cible, déterminant ainsi si la configuration HTTPS est correcte. Les éléments de vérification centraux incluent : si le certificat est dans sa période de validité, si le domaine accédé est dans la liste autorisée du certificat (correspondance SAN), si la chaîne de certificats est complète et fiable, si la version du protocole TLS et les suites de chiffrement utilisées sont sécurisées, etc.

**Pourquoi la vérification de certificats est-elle si importante ?** Les certificats SSL sont la base de confiance de HTTPS. Une fois que des problèmes surviennent avec le certificat (le plus courant est l'expiration), les navigateurs bloquent directement l'accès, affichant une page d'avertissement rouge 'Votre connexion n'est pas privée', causant des dommages directs au trafic du site web, aux taux de conversion, au classement SEO et à la confiance de marque. Selon la surveillance, l'expiration de certificats est la cause la plus courante des pannes HTTPS, représentant plus de 40% de tous les incidents HTTPS.

**En quoi est-ce différent d'accéder directement dans un navigateur ?** L'accès par navigateur peut présenter des déviations dues au cache, HSTS, proxys d'entreprise, certificats clients, etc. ; tandis que les outils de vérification de certificats initient des handshakes TLS standard depuis des nœuds indépendants, renvoyant des informations de certificat objectives et standardisées adaptées aux scénarios de vérification DevOps. Cet outil initie des handshakes TLS directement depuis les serveurs backend, **sans restrictions CORS du navigateur**, et peut vérifier n'importe quel domaine HTTPS accessible publiquement.

**Informations centrales vérifiées par cet outil** : État d'autorisation du certificat (valide ou non), messages d'erreur spécifiques authorizationError, version du protocole TLS (TLS 1.2/1.3), suite de chiffrement négociée (Cipher), résultats de négociation du protocole ALPN (h2/http/1.1), émetteur du certificat (Subject/Issuer), dates de début et fin de période de validité (validFrom/validTo), jours restants (avec alertes couleur), liste des Noms Alternatifs du Sujet SAN, empreintes SHA-1/SHA-256, temps de réponse et détails JSON complets.

Les résultats de vérification sont généralement renvoyés en 1-3 secondes, adaptés aux scénarios comme la validation rapide avant mise en ligne, la confirmation de renouvellement et le dépannage. Pour une notation approfondie (comme la note A+-F de SSL Labs incluant renégociation, tests de vulnérabilités, support de protocoles, etc.), il est recommandé d'utiliser conjointement avec SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) est un protocole de chiffrement développé par Netscape dans les années 1990, ultérieurement standardisé par l'IETF et renommé TLS (Transport Layer Security). SSL 3.0 et les versions antérieures sont tous obsolètes ; actuellement TLS 1.2 et TLS 1.3 sont utilisés en pratique, mais par convention on appelle encore souvent 'certificat SSL'.
HTTPS
HTTP sur TLS, qui ajoute une couche de chiffrement TLS entre HTTP et TCP pour fournir le chiffrement des données, l'authentification du serveur et la protection de l'intégrité du contenu. La recherche Google donne un poids de classement aux sites HTTPS, et Chrome marque les sites non HTTPS comme 'Non sécurisé'.
SAN (Subject Alternative Name)
Champ d'extension de certificat X.509 qui répertorie tous les noms de domaine et adresses IP autorisés pour ce certificat. Les navigateurs modernes (Chrome 58+) ne vérifient que SAN et ne regardent plus Common Name (CN). Un certificat SAN peut protéger plusieurs domaines simultanément.
Chaîne de Certificats (Certificate Chain)
La chaîne de confiance du certificat feuille (certificat serveur) au certificat CA intermédiaire, puis au certificat CA racine. Le serveur doit envoyer le certificat feuille + certificat intermédiaire ; les navigateurs vérifient l'intégrité de la chaîne via des certificats racine préinstallés. L'absence de certificats intermédiaires est une erreur de configuration courante.
ALPN (Application-Layer Protocol Negotiation)
Extension TLS qui permet de négocier des protocoles de couche application pendant le handshake TLS (par exemple h2 pour HTTP/2, http/1.1 pour HTTP/1.1, h3 pour HTTP/3). Une fois le handshake terminé, le protocole négocié est utilisé directement sans allers-retours supplémentaires.
Cipher Suite(Suite de Chiffrement)
Un ensemble de combinaisons d'algorithmes de chiffrement négociées pendant le handshake TLS, incluant algorithme d'échange de clés, algorithme d'authentification, algorithme de chiffrement symétrique et algorithme de hachage, comme TLS_AES_256_GCM_SHA384. Les configurations sécurisées doivent prioriser les suites AEAD (comme GCM, ChaCha20-Poly1305).
Let's Encrypt
Une autorité de certification (CA) gratuite, automatisée et ouverte opérée par l'ISRG, lancée officiellement en 2016, a émis plus de 3 milliards de certificats, réduisant considérablement les barrières au déploiement HTTPS. Les certificats ont une validité de 90 jours, avec renouvellement automatique via le protocole ACME.Site Officiel Let's Encrypt
Empreinte (Fingerprint)
Valeur de hachage calculée à partir du contenu encodé DER du certificat, couramment SHA-1 et SHA-256. Les empreintes identifient de manière unique un certificat, utilisables pour l'épinglage de certificats et la vérification de cohérence multi-nœuds. SHA-1 n'est plus recommandé à des fins de sécurité en raison des risques de collision mais reste largement utilisé pour l'identification.
SNI (Server Name Indication)
Extension TLS où le client envoie le nom de domaine cible pendant le handshake, permettant aux serveurs sur la même IP de déployer plusieurs certificats pour différents domaines (similaire à l'en-tête Host de HTTP). SNI est la base du HTTPS d'hôtes virtuels modernes ; les serveurs sans SNI configuré renvoient le certificat par défaut, ce qui peut causer des erreurs de non-correspondance de nom.
Secret Persistant (Forward Secrecy / PFS)
Une propriété de sécurité : même si la clé privée du serveur est compromise ultérieurement, le trafic de session chiffré enregistré précédemment ne peut pas être déchiffré. Implémenté via des algorithmes d'échange de clés éphémères comme ECDHE, il est obligatoire pour TLS 1.3 et une norme recommandée pour les configurations de sécurité modernes.

Historique et État Actuel des Versions du Protocole TLS

Version du ProtocoleAnnée de SortieÉtat ActuelNotes
SSL 1.0-3.01995-1996❌ Obsolète/Non sécuriséContient des vulnérabilités critiques comme POODLE ; désactivé par tous les navigateurs modernes
TLS 1.01999❌ ObsolèteVulnérabilités BEAST, CRIME ; interdit depuis PCI DSS 2018
TLS 1.12006❌ ObsolèteOfficiellement obsolète dans RFC 8996 ; Chrome/Firefox ont supprimé le support en 2020
TLS 1.22008⚠️ Largement Supporté (Transition)Actuellement le plus déployé avec la meilleure compatibilité, mais présente des risques de certaines suites de chiffrement faibles
TLS 1.32018 (RFC 8446)✅ RecommandéHandshake plus rapide (1-RTT/0-RTT), algorithmes faibles supprimés, préféré par les navigateurs modernes

Alertes Couleur d'Expiration de Certificat et Recommandations

Jours RestantsCouleur d'ÉtatAction Recommandée
>30 jours🟢 Vert (Normal)Aucune action nécessaire ; vérifier périodiquement
7-30 jours🟡 Jaune (Avertissement)Démarrer le processus de renouvellement dès que possible pour garantir le remplacement avant expiration
<7 jours🔴 Rouge (Urgent)Renouveler immédiatement ; les navigateurs bloqueront l'accès après expiration
0 jours/Expiré🔴 Rouge (Expiré)Le certificat n'est plus valide ; les utilisateurs verront des avertissements de sécurité et doit être traité immédiatement

Dépannage des Types d'Erreurs SSL Courantes

Type d'ErreurCauses CourantesDirection de Solution
Certificat expiré (expired)Le certificat n'a pas été renouvelé après la date validToRenouveler et déployer un nouveau certificat rapidement
Non-correspondance de nom (name mismatch)Le domaine d'accès actuel n'est pas dans la liste SAN du certificatRéémettre le certificat incluant le domaine cible, ou vérifier la configuration d'origine CDN
Chaîne incomplète (incomplete chain)Le serveur n'a pas correctement configuré les certificats intermédiairesDéployer le certificat intermédiaire combiné avec le certificat feuille
Certificat auto-signé (self-signed)Le certificat a été émis par une CA privée, non fiable publiquementUtiliser une CA fiable publiquement comme Let's Encrypt pour émettre le certificat
Émetteur non fiable (untrusted issuer)Le certificat racine de la CA n'est pas dans le magasin de confiance du navigateurRemplacer par un certificat émis par une CA fiable

Authoritative References