logo
GeekFormat

SSL प्रमाणपत्र जांचकर्ता

प्रमाणपत्र जांच

सर्वर से सीधे TLS हैंडशेक शुरू करें, प्रमाणपत्र पढ़ें, प्रोटोकॉल बातचीत करें और शेष वैधता पढ़ें।

ऑनलाइन SSL/TLS प्रमाणपत्रों की जांच करें, यह देखने के लिए डोमेन दर्ज करें कि प्रमाणपत्र वैध है या नहीं, डोमेन मेल खाता है या नहीं, शेष दिन, TLS संस्करण, सिफर सूट और SAN सूची, बैकएंड हैंडशेक शुरू करता है CORS समस्या नहीं।

संबंधित सुझाव

उपयोग के मामले

  • वेबसाइट लॉन्च से पहले/प्रमाणपत्र नवीनीकरण के बाद त्वरित सत्यापन कि HTTPS सामान्य रूप से काम कर रहा है या नहीं
  • प्रमाणपत्र समाप्ति चेतावनी: अप्रत्याशित समाप्ति के कारण एक्सेस रुकावट से बचने के लिए नियमित रूप से शेष दिनों की जांच करें
  • ब्राउज़र HTTPS त्रुटियों का समस्या निवारण: यह निर्धारित करें कि क्या यह समाप्ति, डोमेन मेल नहीं खाना या प्रमाणपत्र श्रृंखला की समस्या है
  • CDN/रिवर्स प्रॉक्सी परिनियोजन के बाद एज नोड प्रमाणपत्र सही ढंग से लोड हुए हैं या नहीं इसका सत्यापन
  • जांचें कि TLS प्रोटोकॉल संस्करण और सिफर सूट सुरक्षा और अनुपालन आवश्यकताओं को पूरा करते हैं या नहीं
  • बहु-डोमेन प्रमाणपत्र परिनियोजन के बाद सत्यापन कि SAN सूची सभी लक्ष्य डोमेन को कवर करती है या नहीं

विशेषताएं

  • बैकएंड TLS हैंडशेक: सर्वर से सीधे TLS कनेक्शन शुरू करता है, कोई ब्राउज़र CORS प्रतिबंध नहीं, किसी भी सार्वजनिक डोमेन की जांच कर सकता है
  • प्राधिकरण स्थिति का त्वरित मूल्यांकन: प्रमाणपत्र वैध है या नहीं, डोमेन मेल खाता है या नहीं और प्राधिकरण त्रुटि जानकारी एक नज़र में दिखाई देती है
  • शेष दिनों के लिए रंगीन चेतावनियां: >30 दिन हरा, 7-30 दिन पीला, <7 दिन लाल, नवीनीकरण समय का त्वरित मूल्यांकन करें
  • मुख्य कॉन्फ़िगरेशन एक नज़र में: TLS प्रोटोकॉल संस्करण, Cipher, ALPN बातचीत परिणाम सीधे दिखाई देते हैं
  • पूर्ण SAN सूची प्रदर्शन: सभी Subject Alternative Name टैग के रूप में सूचीबद्ध हैं, 8 से अधिक को सभी देखने के लिए विस्तारित किया जा सकता है
  • एक क्लिक से डबल फिंगरप्रिंट कॉपी: SHA-1 और SHA-256 फिंगरप्रिंट अलग-अलग प्रदर्शित होते हैं और एक क्लिक से कॉपी का समर्थन करते हैं
  • पूर्ण JSON निर्यात: प्रमाणपत्र की पूर्ण JSON संरचना देखने के लिए विस्तारित किया जा सकता है, गहन जांच और संग्रह के लिए एक क्लिक से कॉपी का समर्थन करता है

उपयोग कैसे करें

  1. जांच करने के लिए डोमेन दर्ज करें (जैसे geekformat.com, https:// उपसर्ग के बिना)
  2. 'प्रमाणपत्र जांचें' बटन पर क्लिक करें, TLS हैंडशेक परिणाम प्राप्त करने के लिए 1-3 सेकंड प्रतीक्षा करें
  3. पहले प्राधिकरण स्थिति (हरा वैध/लाल अमान्य) और शेष दिनों का रंग देखें
  4. जांचें कि TLS संस्करण, Cipher, ALPN बातचीत अपेक्षाओं के अनुरूप है या नहीं
  5. प्रमाणपत्र जानकारी सही है इसकी पुष्टि करने के लिए Subject/Issuer, वैधता अवधि, SAN सूची देखें
  6. यदि गहन जांच की आवश्यकता है, तो पूर्ण प्रमाणपत्र संरचना देखने और संग्रह के लिए कॉपी करने के लिए JSON विवरण का विस्तार करें

सामान्य प्रश्न

SSL प्रमाणपत्रों की जांच क्यों करनी चाहिए?

समाप्त SSL प्रमाणपत्र, डोमेन मेल नहीं खाना, और कॉन्फ़िगरेशन त्रुटियां HTTPS वेबसाइटों के लिए सबसे सामान्य विफलता प्रकार हैं। किसी प्रमाणपत्र के समाप्त होने के बाद, ब्राउज़र 'असुरक्षित' चेतावनी प्रदर्शित करेंगे जिससे आगंतुक चले जाएंगे, Google खोज रैंकिंग भी प्रभावित होगी। नियमित जांच और जल्दी नवीनीकरण HTTPS के सामान्य संचालन को सुनिश्चित करने के लिए बुनियादी रखरखाव कार्य हैं।

प्रमाणपत्र जांच और SSL Labs में क्या अंतर है?

SSL Labs गहन स्कोरिंग करता है (प्रोटोकॉल, सूट, कमजोरियों आदि का व्यापक परीक्षण सहित, लगभग 2 मिनट लगते हैं), यह उपकरण त्वरित बुनियादी जांच करता है (परिणाम 1-3 सेकंड में वापस आते हैं), प्रमाणपत्र वैधता, वैधता अवधि, TLS संस्करण, सिफर सूट, SAN सूची जैसी मुख्य जानकारी को कवर करता है, लॉन्च से पहले त्वरित सत्यापन, नवीनीकरण पुष्टि, समस्या निवारण के लिए उपयुक्त है।

ब्राउज़र सीधे एक्सेस क्यों कर सकते हैं लेकिन इस उपकरण से जांच विफल हो जाती है?

संभावित कारण: 1) वेबसाइट विदेशी IP पतों को ब्लॉक करती है (जांच सर्वर विदेश में है); 2) सर्वर SNI भेदभाव करता है लेकिन कॉन्फ़िगरेशन अपूर्ण है; 3) कॉर्पोरेट इंट्रानेट के लिए स्व-हस्ताक्षरित प्रमाणपत्र का उपयोग किया जा रहा है; 4) फ़ायरवॉल जांच नोड्स को ब्लॉक करता है। जांच विफल होने का मतलब यह नहीं है कि प्रमाणपत्र में कोई समस्या है, विशिष्ट त्रुटि जानकारी के आधार पर मूल्यांकन करने की आवश्यकता है।

TLS 1.2 और TLS 1.3 में क्या अंतर है?

TLS 1.3 (2018, RFC 8446) नवीनतम संस्करण है, हैंडशेक गति TLS 1.2 के 2-RTT से 1-RTT यहां तक कि 0-RTT तक सुधारी गई है, RSA कुंजी विनिमय, RC4, SHA-1 जैसे असुरक्षित एल्गोरिदम हटा दिए गए हैं, Forward Secrecy डिफ़ॉल्ट रूप से सक्षम है, सुरक्षा और प्रदर्शन में स्पष्ट सुधार हुआ है। नए परिनियोजन को प्राथमिकता से TLS 1.3 का समर्थन करना चाहिए और पुराने क्लाइंट के साथ संगतता के लिए TLS 1.2 को बनाए रखना चाहिए।

प्रमाणपत्र कितने दिन पहले नवीनीकृत किया जाना चाहिए?

समाप्ति से 30 दिन पहले नवीनीकरण की तैयारी शुरू करने की सिफारिश की जाती है, और परिनियोजन को कम से कम 7 दिन पहले पूरा करना चाहिए। उपकरण रंगीन चेतावनियों का उपयोग करता है: >30 दिन हरा (सामान्य), 7-30 दिन पीला (नवीनीकरण करना चाहिए), <7 दिन लाल (आपातकाल)। Let's Encrypt प्रमाणपत्र 90 दिनों के लिए वैध होते हैं, स्वचालित नवीनीकरण कॉन्फ़िगर करने की सिफारिश की जाती है।

Let's Encrypt

SAN सूची क्या है? यह महत्वपूर्ण क्यों है?

SAN (Subject Alternative Name) प्रमाणपत्र में डोमेन/IP की सूची है जिनका उपयोग करने की अनुमति है। आधुनिक ब्राउज़र (Chrome 58+) अब Common Name(CN) फ़ील्ड पर भरोसा नहीं करते हैं, केवल SAN की जांच करते हैं। यदि एक्सेस किया जा रहा डोमेन SAN सूची में नहीं है, तो ब्राउज़र 'डोमेन मेल नहीं खाता' त्रुटि की रिपोर्ट करेंगे। एक प्रमाणपत्र SAN के माध्यम से कई डोमेन को कवर कर सकता है (जैसे example.com, www.example.com, api.example.com)।

प्रमाणपत्र फिंगरप्रिंट क्यों देखना चाहिए?

प्रमाणपत्र फिंगरप्रिंट (SHA-1/SHA-256) प्रमाणपत्र सामग्री के हैश मान हैं, जिनका उपयोग HPKP (अप्रचलित), Certificate Pinning के लिए किया जा सकता है, साथ ही यह मैन्युअल रूप से सत्यापित करने के लिए कि क्या तैनात प्रमाणपत्र अपेक्षित के अनुरूप है, उदाहरण के लिए पुष्टि करना कि CDN ने नया प्रमाणपत्र सही ढंग से लोड किया है या नहीं, या कई सर्वरों के बीच प्रमाणपत्रों की तुलना करना है। नोट: SHA-1 फिंगरप्रिंट का उपयोग केवल पहचान के लिए किया जाता है, सुरक्षा सत्यापन के लिए उपयोग नहीं किया जाना चाहिए।

SSL/TLS प्रमाणपत्र जांच क्या है?

SSL/TLS प्रमाणपत्र जांच क्लाइंट से TLS हैंडशेक शुरू करने, लक्ष्य सर्वर द्वारा लौटाई गई प्रमाणपत्र जानकारी को प्राप्त करने और विश्लेषण करने की प्रक्रिया है, ताकि यह निर्धारित किया जा सके कि HTTPS कॉन्फ़िगरेशन सही है या नहीं। मुख्य जांच आइटम में शामिल हैं: प्रमाणपत्र वैधता अवधि के भीतर है या नहीं, एक्सेस किया जा रहा डोमेन प्रमाणपत्र की अनुमत सूची में है या नहीं (SAN मिलान), प्रमाणपत्र श्रृंखला पूर्ण और विश्वसनीय है या नहीं, उपयोग किए गए TLS प्रोटोकॉल संस्करण और सिफर सूट सुरक्षित हैं या नहीं, आदि।

**प्रमाणपत्र जांच इतनी महत्वपूर्ण क्यों है?** SSL प्रमाणपत्र HTTPS का विश्वास आधार हैं। जब किसी प्रमाणपत्र में कोई समस्या होती है (सबसे आम समाप्ति है), तो ब्राउज़र तुरंत एक्सेस ब्लॉक कर देंगे और लाल चेतावनी पृष्ठ 'आपका कनेक्शन निजी नहीं है' प्रदर्शित करेंगे, जिससे वेबसाइट ट्रैफ़िक, रूपांतरण दर, SEO रैंकिंग और ब्रांड विश्वास को सीधे नुकसान होगा। निगरानी के अनुसार, प्रमाणपत्र समाप्ति HTTPS विफलताओं का सबसे सामान्य कारण है, जो सभी HTTPS घटनाओं के 40% से अधिक के लिए जिम्मेदार है।

**ब्राउज़र में सीधे एक्सेस करने से क्या अंतर है?** ब्राउज़र एक्सेस कैश, HSTS, कॉर्पोरेट प्रॉक्सी, क्लाइंट प्रमाणपत्र और विचलन पैदा करने वाले अन्य कारकों से प्रभावित हो सकता है; जबकि प्रमाणपत्र जांच उपकरण एक स्वतंत्र नोड से मानक TLS हैंडशेक शुरू करते हैं और वस्तुनिष्ठ, मानकीकृत प्रमाणपत्र जानकारी लौटाते हैं, जो परिचालन सत्यापन परिदृश्यों के लिए उपयुक्त है। यह उपकरण बैकएंड सर्वर से सीधे TLS हैंडशेक शुरू करता है, **कोई ब्राउज़र CORS प्रतिबंध नहीं है**, और किसी भी सार्वजनिक रूप से सुलभ HTTPS डोमेन की जांच कर सकता है।

**यह उपकरण जो मुख्य जानकारी जांचता है**: प्रमाणपत्र प्राधिकरण स्थिति (वैध है या नहीं), विशिष्ट authorizationError त्रुटि जानकारी, TLS प्रोटोकॉल संस्करण (TLS 1.2/1.3), बातचीत किया गया सिफर सूट (Cipher), ALPN प्रोटोकॉल बातचीत परिणाम (h2/http/1.1), प्रमाणपत्र जारीकर्ता (Subject/Issuer), वैधता तिथियां (validFrom/validTo), शेष दिन (रंगीन चेतावनियों के साथ), SAN Subject Alternative Name सूची, SHA-1/SHA-256 फिंगरप्रिंट, प्रतिक्रिया समय, और पूर्ण JSON विवरण।

परिणाम आमतौर पर 1-3 सेकंड के भीतर लौटाए जाते हैं, जो लॉन्च से पहले त्वरित सत्यापन, नवीनीकरण पुष्टि, समस्या निवारण आदि जैसे परिदृश्यों के लिए उपयुक्त हैं। यदि गहन स्कोरिंग की आवश्यकता है (जैसे SSL Labs की A+-F रेटिंग, जिसमें पुनः बातचीत, भेद्यता परीक्षण, प्रोटोकॉल समर्थन स्तर आदि शामिल हैं), तो SSL Labs Server Test के साथ संयोजन में उपयोग करने की सिफारिश की जाती है।

术语表

SSL/TLS
SSL (Secure Sockets Layer) 1990 के दशक में Netscape द्वारा विकसित एक एन्क्रिप्शन प्रोटोकॉल है, बाद में IETF द्वारा मानकीकृत किया गया और इसका नाम बदलकर TLS (Transport Layer Security) कर दिया गया। SSL 3.0 और इससे पहले के संस्करण सभी अप्रचलित हैं, वर्तमान में वास्तव में TLS 1.2 और TLS 1.3 का उपयोग किया जा रहा है, लेकिन आदतन अभी भी अक्सर 'SSL प्रमाणपत्र' कहा जाता है।
HTTPS
HTTP over TLS, HTTP और TCP के बीच TLS एन्क्रिप्शन परत जोड़ता है, डेटा एन्क्रिप्शन, सर्वर पहचान प्रमाणीकरण और सामग्री अखंडता सुरक्षा प्रदान करता है। Google खोज HTTPS साइटों को महत्व देती है, Chrome गैर-HTTPS साइटों को 'असुरक्षित' के रूप में चिह्नित करता है।
SAN (Subject Alternative Name)
X.509 प्रमाणपत्र विस्तार फ़ील्ड, उन सभी डोमेन और IP पतों को सूचीबद्ध करता है जिन्हें इस प्रमाणपत्र के साथ उपयोग करने की अनुमति है। आधुनिक ब्राउज़र (Chrome 58+) केवल SAN की जांच करते हैं और अब Common Name(CN) को नहीं देखते हैं। एक SAN प्रमाणपत्र एक साथ कई डोमेन की सुरक्षा कर सकता है।
प्रमाणपत्र श्रृंखला (Certificate Chain)
लीफ प्रमाणपत्र (सर्वर प्रमाणपत्र) से मध्यवर्ती CA प्रमाणपत्र, फिर रूट CA प्रमाणपत्र तक की विश्वास श्रृंखला। सर्वर को लीफ प्रमाणपत्र + मध्यवर्ती प्रमाणपत्र भेजना चाहिए, ब्राउज़र पूर्व-स्थापित रूट प्रमाणपत्रों के माध्यम से श्रृंखला की अखंडता को सत्यापित करते हैं। लापता मध्यवर्ती प्रमाणपत्र एक सामान्य कॉन्फ़िगरेशन त्रुटि है।
ALPN (Application-Layer Protocol Negotiation)
TLS विस्तार, TLS हैंडशेक चरण के दौरान एप्लिकेशन-लेयर प्रोटोकॉल की बातचीत की अनुमति देता है (जैसे HTTP/2 के लिए h2, HTTP/1.1 के लिए http/1.1, HTTP/3 के लिए h3)। हैंडशेक पूरा होने के बाद बातचीत किया गया प्रोटोकॉल सीधे उपयोग किया जाता है, अतिरिक्त राउंड-ट्रिप की आवश्यकता नहीं होती है।
Cipher Suite
TLS हैंडशेक के दौरान बातचीत की गई एन्क्रिप्शन एल्गोरिदम का एक सेट, जिसमें कुंजी विनिमय एल्गोरिदम, प्रमाणीकरण एल्गोरिदम, सममित एन्क्रिप्शन एल्गोरिदम और हैश एल्गोरिदम शामिल हैं, जैसे TLS_AES_256_GCM_SHA384। सुरक्षित कॉन्फ़िगरेशन को प्राथमिकता से AEAD सूट (जैसे GCM, ChaCha20-Poly1305) का उपयोग करना चाहिए।
Let's Encrypt
ISRG द्वारा संचालित एक मुफ्त, स्वचालित, खुला प्रमाणपत्र प्राधिकरण (CA), 2016 में आधिकारिक रूप से लॉन्च किया गया, 3 बिलियन से अधिक प्रमाणपत्र जारी किए हैं, और HTTPS परिनियोजन सीमा को काफी कम कर दिया है। प्रमाणपत्र 90 दिनों के लिए वैध होते हैं, ACME प्रोटोकॉल के माध्यम से स्वचालित रूप से नवीनीकृत होते हैं।Let's Encrypt वेबसाइट
प्रमाणपत्र फिंगरप्रिंट (Fingerprint)
प्रमाणपत्र की DER-एन्कोडेड सामग्री पर गणना की गई हैश मान, आमतौर पर SHA-1 और SHA-256। फिंगरप्रिंट का उपयोग किसी प्रमाणपत्र को विशिष्ट रूप से पहचानने के लिए, Certificate Pinning के लिए और कई नोड्स के बीच संगतता सत्यापन के लिए किया जाता है। टक्कर जोखिम के कारण SHA-1 को सुरक्षा उद्देश्यों के लिए अनुशंसित नहीं किया जाता है, लेकिन पहचान के लिए अभी भी व्यापक रूप से उपयोग किया जाता है।
SNI (Server Name Indication)
TLS विस्तार, जिसमें क्लाइंट हैंडशेक चरण में पहले से ही एक्सेस करने के लिए डोमेन भेजता है, जिससे एक ही IP पर सर्वर विभिन्न डोमेन के लिए अनेक प्रमाणपत्र लागू कर सकता है (HTTP के Host हेडर के समान)। SNI आधुनिक वर्चुअल होस्ट HTTPS का आधार है, SNI कॉन्फ़िगरेशन के बिना सर्वर डिफ़ॉल्ट प्रमाणपत्र लौटाएगा, जिससे डोमेन मेल नहीं खाने की त्रुटि हो सकती है।
Forward Secrecy (PFS)
एक सुरक्षा गुण: भले ही सर्वर की निजी कुंजी भविष्य में लीक हो जाए, पहले से रिकॉर्ड किए गए एन्क्रिप्टेड सत्र ट्रैफ़िक को डिक्रिप्ट नहीं किया जा सकता है। यह ECDHE जैसे अस्थायी कुंजी विनिमय एल्गोरिदम के माध्यम से प्राप्त किया जाता है, TLS 1.3 में अनिवार्य आवश्यकता है और आधुनिक सुरक्षा कॉन्फ़िगरेशन के लिए अनुशंसित मानक है।

TLS प्रोटोकॉल संस्करण इतिहास और स्थिति

प्रोटोकॉल संस्करणजारी वर्षवर्तमान स्थितिनोट्स
SSL 1.0-3.01995-1996❌ अप्रचलित/असुरक्षितPOODLE जैसी गंभीर कमजोरियां हैं, सभी आधुनिक ब्राउज़रों ने अक्षम कर दिया है
TLS 1.01999❌ अप्रचलितBEAST, CRIME जैसी कमजोरियां, PCI DSS 2018 से उपयोग प्रतिबंधित
TLS 1.12006❌ अप्रचलितRFC 8996 में आधिकारिक रूप से अप्रचलित, Chrome/Firefox ने 2020 से समर्थन हटा दिया
TLS 1.22008⚠️ व्यापक रूप से समर्थित (संक्रमण)वर्तमान में सबसे व्यापक रूप से तैनात, सबसे अच्छी संगतता, लेकिन कुछ कमजोर सिफर सूट का जोखिम है
TLS 1.32018 (RFC 8446)✅ अनुशंसिततेज हैंडशेक (1-RTT/0-RTT), कमजोर एल्गोरिदम हटाए गए, आधुनिक ब्राउज़रों की पहली पसंद

प्रमाणपत्र समाप्ति रंग चेतावनी और कार्रवाई सुझाव

शेष दिनस्थिति रंगअनुशंसित कार्रवाई
>30 दिन🟢 हरा (सामान्य)कोई कार्रवाई की आवश्यकता नहीं, नियमित रूप से जांच करें
7-30 दिन🟡 पीला (चेतावनी)जल्द से जल्द नवीनीकरण प्रक्रिया शुरू करें, सुनिश्चित करें कि प्रतिस्थापन समाप्ति से पहले पूरा हो जाए
<7 दिन🔴 लाल (आपातकाल)तुरंत नवीनीकरण करें, समाप्ति के बाद ब्राउज़र एक्सेस ब्लॉक कर देंगे
0 दिन/समाप्त हो गया🔴 लाल (समाप्त)प्रमाणपत्र अमान्य है, उपयोगकर्ता सुरक्षा चेतावनी देखेंगे, तुरंत कार्रवाई की जानी चाहिए

सामान्य SSL त्रुटि प्रकारों का समस्या निवारण

त्रुटि प्रकारसामान्य कारणसमाधान दिशा
प्रमाणपत्र समाप्त (expired)प्रमाणपत्र validTo तारीख के बाद नवीनीकृत नहीं किया गयासमय पर नवीनीकरण करें और नया प्रमाणपत्र लागू करें
डोमेन मेल नहीं खाता (name mismatch)वर्तमान डोमेन प्रमाणपत्र की SAN सूची में नहीं हैलक्ष्य डोमेन वाला नया प्रमाणपत्र जारी करें, या CDN स्रोत कॉन्फ़िगरेशन जांचें
अपूर्ण प्रमाणपत्र श्रृंखला (incomplete chain)सर्वर ने मध्यवर्ती प्रमाणपत्र सही ढंग से कॉन्फ़िगर नहीं किए हैंमध्यवर्ती प्रमाणपत्रों को लीफ प्रमाणपत्र के साथ मिलाकर लागू करें
स्व-हस्ताक्षरित प्रमाणपत्र (self-signed)प्रमाणपत्र निजी CA द्वारा हस्ताक्षरित है, सार्वजनिक रूप से विश्वसनीय नहीं हैLet's Encrypt जैसे सार्वजनिक CA द्वारा जारी प्रमाणपत्र का उपयोग करें
अविश्वसनीय जारीकर्ता (untrusted issuer)CA रूट प्रमाणपत्र ब्राउज़र के विश्वास भंडार में नहीं हैकिसी विश्वसनीय CA द्वारा जारी प्रमाणपत्र से बदलें

Authoritative References