logo
GeekFormat

Pemeriksa Sertifikat SSL

Probe sertifikat

Mulai TLS handshake langsung dari server, baca sertifikat, negosiasi protokol dan sisa validitas.

Periksa sertifikat SSL/TLS secara online, masukkan domain untuk melihat apakah sertifikat valid, domain cocok, sisa hari, versi TLS, cipher suite dan daftar SAN, backend memulai handshake tanpa masalah CORS.

Rekomendasi Terkait

Kasus penggunaan

  • Verifikasi cepat apakah HTTPS berfungsi normal sebelum peluncuran situs web/setelah perpanjangan sertifikat
  • Peringatan kedaluwarsa sertifikat: Periksa sisa hari secara berkala untuk menghindari gangguan akses akibat kedaluwarsa tak terduga
  • Memecahkan masalah kesalahan HTTPS di browser: Menentukan apakah itu masalah kedaluwarsa, domain tidak cocok, atau rantai sertifikat
  • Verifikasi apakah sertifikat node edge dimuat dengan benar setelah implementasi CDN/proxy terbalik
  • Memeriksa apakah versi protokol TLS dan cipher suite memenuhi persyaratan keamanan dan kepatuhan
  • Verifikasi apakah daftar SAN mencakup semua domain target setelah implementasi sertifikat multi-domain

Fitur

  • Handshake TLS backend: Memulai koneksi TLS langsung dari server, tanpa batasan CORS browser, dapat memeriksa domain publik apa pun
  • Penilaian status otorisasi instan: Apakah sertifikat valid, domain cocok, dan informasi kesalahan otorisasi terlihat jelas sekilas
  • Peringatan warna untuk sisa hari: >30 hari hijau, 7-30 hari kuning, <7 hari merah, menilai waktu perpanjangan dengan cepat
  • Konfigurasi inti dalam sekejap: Versi protokol TLS, Cipher, hasil negosiasi ALPN terlihat langsung
  • Tampilan daftar SAN lengkap: Semua Subject Alternative Name terdaftar sebagai tag, lebih dari 8 dapat diperluas untuk melihat semua
  • Salin sidik jari ganda dengan satu klik: Sidik jari SHA-1 dan SHA-256 ditampilkan secara terpisah dan mendukung penyalinan satu klik
  • Ekspor JSON lengkap: Dapat diperluas untuk melihat struktur JSON lengkap sertifikat, mendukung penyalinan satu klik untuk investigasi mendalam dan pengarsipan

Cara Penggunaan

  1. Masukkan domain yang perlu diperiksa (misalnya geekformat.com, tanpa awalan https://)
  2. Klik tombol 'Periksa Sertifikat', tunggu 1-3 detik untuk mendapatkan hasil handshake TLS
  3. Pertama lihat status otorisasi (hijau valid/merah tidak valid) dan warna sisa hari
  4. Periksa apakah versi TLS, Cipher, negosiasi ALPN sesuai dengan harapan
  5. Lihat Subject/Issuer, masa berlaku, daftar SAN untuk mengonfirmasi informasi sertifikat benar
  6. Jika perlu investigasi mendalam, luaskan detail JSON untuk melihat struktur sertifikat lengkap dan salin untuk pengarsipan

Pertanyaan Umum

Mengapa perlu memeriksa sertifikat SSL?

Sertifikat SSL yang kedaluwarsa, domain yang tidak cocok, dan kesalahan konfigurasi adalah jenis kegagalan yang paling umum untuk situs web HTTPS. Setelah sertifikat kedaluwarsa, browser akan menampilkan peringatan 'tidak aman' yang membuat pengunjung pergi, peringkat pencarian Google juga akan terpengaruh. Pemeriksaan berkala dan perpanjangan awal adalah tugas pemeliharaan dasar untuk memastikan HTTPS berjalan normal.

Apa perbedaan antara pemeriksaan sertifikat dan SSL Labs?

SSL Labs melakukan penilaian mendalam (termasuk pengujian komprehensif protokol, suite, kerentanan, memakan waktu sekitar 2 menit), alat ini melakukan pemeriksaan dasar cepat (hasil kembali dalam 1-3 detik), mencakup informasi inti seperti validitas sertifikat, masa berlaku, versi TLS, cipher suite, daftar SAN, cocok untuk verifikasi cepat sebelum peluncuran, konfirmasi perpanjangan, pemecahan masalah.

Mengapa browser dapat mengakses langsung tetapi pemeriksaan dengan alat ini gagal?

Kemungkinan penyebab: 1) Situs web memblokir alamat IP luar negeri (server pemeriksa ada di luar negeri); 2) Server melakukan pembedaan SNI tetapi konfigurasi tidak lengkap; 3) Menggunakan sertifikat tanda tangan sendiri untuk intranet perusahaan; 4) Firewall memblokir node pemeriksaan. Pemeriksaan yang gagal tidak berarti sertifikat bermasalah, perlu dinilai berdasarkan informasi kesalahan spesifik.

Apa perbedaan antara TLS 1.2 dan TLS 1.3?

TLS 1.3 (2018, RFC 8446) adalah versi terbaru, kecepatan handshake ditingkatkan dari 2-RTT di TLS 1.2 menjadi 1-RTT bahkan 0-RTT, algoritma tidak aman seperti pertukaran kunci RSA, RC4, SHA-1 dihapus, Forward Secrecy diaktifkan secara default, keamanan dan kinerja meningkat secara signifikan. Implementasi baru sebaiknya mendukung TLS 1.3 dan mempertahankan TLS 1.2 untuk kompatibilitas dengan klien lama.

Berapa hari sebelum sertifikat kedaluwarsa harus diperpanjang?

Disarankan untuk mulai mempersiapkan perpanjangan 30 hari sebelum kedaluwarsa, dan menyelesaikan implementasi setidaknya 7 hari sebelumnya. Alat ini menggunakan peringatan warna: >30 hari hijau (normal), 7-30 hari kuning (harus diperpanjang), <7 hari merah (mendesak). Sertifikat Let's Encrypt berlaku selama 90 hari, disarankan untuk mengonfigurasi perpanjangan otomatis.

Let's Encrypt

Apa itu daftar SAN? Mengapa penting?

SAN (Subject Alternative Name) adalah daftar domain/IP dalam sertifikat yang diizinkan untuk digunakan. Browser modern (Chrome 58+) sudah tidak mempercayai bidang Common Name(CN) lagi, hanya memeriksa SAN. Jika domain yang dikunjungi tidak ada dalam daftar SAN, browser akan melaporkan kesalahan 'domain tidak cocok'. Satu sertifikat dapat mencakup banyak domain melalui SAN (misalnya example.com, www.example.com, api.example.com).

Mengapa perlu melihat sidik jari sertifikat?

Sidik jari sertifikat (SHA-1/SHA-256) adalah nilai hash dari konten sertifikat, dapat digunakan untuk HPKP (sudah kedaluwarsa), Certificate Pinning, serta verifikasi manual apakah sertifikat yang diimplementasikan cocok dengan yang diharapkan, misalnya mengonfirmasi apakah CDN telah memuat sertifikat baru dengan benar, atau membandingkan sertifikat di antara beberapa server. Catatan: Sidik jari SHA-1 hanya digunakan untuk identifikasi, tidak boleh digunakan untuk verifikasi keamanan.

Apa itu pemeriksaan sertifikat SSL/TLS?

Pemeriksaan sertifikat SSL/TLS adalah proses memulai handshake TLS dari klien, mengambil dan menganalisis informasi sertifikat yang dikembalikan oleh server target, sehingga menentukan apakah konfigurasi HTTPS benar. Item pemeriksaan inti meliputi: apakah sertifikat dalam masa berlaku, domain yang dikunjungi ada dalam daftar yang diizinkan sertifikat (kecocokan SAN), rantai sertifikat lengkap dan tepercaya, versi protokol TLS dan cipher suite yang digunakan aman, dll.

**Mengapa pemeriksaan sertifikat begitu penting?** Sertifikat SSL adalah dasar kepercayaan HTTPS. Begitu ada masalah dengan sertifikat (paling umum adalah kedaluwarsa), browser akan segera memblokir akses dan menampilkan halaman peringatan merah 'Koneksi Anda tidak pribadi', yang menyebabkan kerusakan langsung pada lalu lintas situs web, tingkat konversi, peringkat SEO, dan kepercayaan merek. Berdasarkan pemantauan, kedaluwarsa sertifikat adalah penyebab paling umum dari kegagalan HTTPS, menyumbang lebih dari 40% dari semua insiden HTTPS.

**Apa bedanya dengan mengakses langsung di browser?** Akses browser dapat dipengaruhi oleh cache, HSTS, proxy perusahaan, sertifikat klien, dan faktor lain yang menyebabkan penyimpangan; sedangkan alat pemeriksa sertifikat memulai handshake TLS standar dari node independen dan mengembalikan informasi sertifikat yang objektif dan terstandarisasi, cocok untuk skenario verifikasi operasional. Alat ini memulai handshake TLS langsung dari server backend, **tanpa batasan CORS browser**, dan dapat memeriksa domain HTTPS apa pun yang dapat diakses secara publik.

**Informasi inti yang diperiksa alat ini**: Status otorisasi sertifikat (valid atau tidak), informasi kesalahan authorizationError spesifik, versi protokol TLS (TLS 1.2/1.3), cipher suite yang dinegosiasikan (Cipher), hasil negosiasi protokol ALPN (h2/http/1.1), penerbit sertifikat (Subject/Issuer), tanggal berlaku (validFrom/validTo), sisa hari (dengan peringatan warna), daftar SAN Subject Alternative Name, sidik jari SHA-1/SHA-256, waktu respons, dan detail JSON lengkap.

Hasil biasanya dikembalikan dalam 1-3 detik, cocok untuk skenario seperti verifikasi cepat sebelum peluncuran, konfirmasi perpanjangan, pemecahan masalah, dll. Jika memerlukan penilaian mendalam (seperti peringkat A+-F SSL Labs, termasuk negosiasi ulang, pengujian kerentanan, tingkat dukungan protokol, dll.), disarankan untuk digunakan bersama dengan SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) adalah protokol enkripsi yang dikembangkan oleh Netscape pada tahun 1990-an, kemudian distandarisasi oleh IETF dan dinamai ulang menjadi TLS (Transport Layer Security). SSL 3.0 dan versi sebelumnya semuanya sudah kedaluwarsa, saat ini yang benar-benar digunakan adalah TLS 1.2 dan TLS 1.3, tetapi secara kebiasaan masih sering disebut 'sertifikat SSL'.
HTTPS
HTTP over TLS, menambahkan lapisan enkripsi TLS antara HTTP dan TCP, menyediakan enkripsi data, otentikasi server, dan perlindungan integritas konten. Pencarian Google memberikan bobot pada situs HTTPS, Chrome menandai situs non-HTTPS sebagai 'tidak aman'.
SAN (Subject Alternative Name)
Bidang ekstensi sertifikat X.509, mencantumkan semua domain dan alamat IP yang diizinkan untuk digunakan dengan sertifikat ini. Browser modern (Chrome 58+) hanya memeriksa SAN dan tidak lagi melihat Common Name(CN). Satu sertifikat SAN dapat melindungi banyak domain sekaligus.
Rantai Sertifikat (Certificate Chain)
Rantai kepercayaan dari sertifikat daun (sertifikat server) ke sertifikat CA perantara, kemudian ke sertifikat CA akar. Server harus mengirimkan sertifikat daun + sertifikat perantara, browser memverifikasi integritas rantai melalui sertifikat akar yang sudah terinstal. Sertifikat perantara yang hilang adalah kesalahan konfigurasi yang umum.
ALPN (Application-Layer Protocol Negotiation)
Ekstensi TLS, memungkinkan negosiasi protokol lapisan aplikasi selama tahap handshake TLS (misalnya h2 untuk HTTP/2, http/1.1 untuk HTTP/1.1, h3 untuk HTTP/3). Setelah handshake selesai, protokol yang dinegosiasikan digunakan langsung, tanpa perlu perjalanan pulang-pergi tambahan.
Cipher Suite
Kumpulan algoritma enkripsi yang dinegosiasikan saat handshake TLS, terdiri dari algoritma pertukaran kunci, algoritma otentikasi, algoritma enkripsi simetris, dan algoritma hash, misalnya TLS_AES_256_GCM_SHA384. Konfigurasi aman sebaiknya menggunakan suite AEAD (seperti GCM, ChaCha20-Poly1305).
Let's Encrypt
Otoritas sertifikat (CA) gratis, otomatis, dan terbuka yang dioperasikan oleh ISRG, diluncurkan secara resmi pada tahun 2016, telah menerbitkan lebih dari 3 miliar sertifikat, menurunkan ambang batas implementasi HTTPS secara signifikan. Sertifikat berlaku selama 90 hari, diperpanjang otomatis melalui protokol ACME.Situs web Let's Encrypt
Sidik Jari Sertifikat (Fingerprint)
Nilai hash yang dihitung dari konten berkode DER sertifikat, biasanya SHA-1 dan SHA-256. Sidik jari digunakan untuk mengidentifikasi sertifikat secara unik, untuk Certificate Pinning dan verifikasi konsistensi antar banyak node. SHA-1 tidak direkomendasikan untuk tujuan keamanan karena risiko tabrakan, tetapi masih banyak digunakan untuk identifikasi.
SNI (Server Name Indication)
Ekstensi TLS, di mana klien sudah mengirimkan domain yang akan dikunjungi pada tahap handshake, sehingga server pada IP yang sama dapat mengimplementasikan banyak sertifikat untuk domain yang berbeda (mirip dengan header Host di HTTP). SNI adalah dasar dari HTTPS host virtual modern, server tanpa konfigurasi SNI akan mengembalikan sertifikat default, yang dapat menyebabkan kesalahan domain tidak cocok.
Forward Secrecy (PFS)
Properti keamanan: bahkan jika kunci pribadi server bocor di masa depan, lalu lintas sesi terenkripsi yang direkam sebelumnya tidak dapat didekripsi. Ini dicapai melalui algoritma pertukaran kunci sementara seperti ECDHE, merupakan persyaratan wajib di TLS 1.3 dan standar yang direkomendasikan untuk konfigurasi keamanan modern.

Sejarah dan status versi protokol TLS

Versi ProtokolTahun RilisStatus Saat IniCatatan
SSL 1.0-3.01995-1996❌ Kedaluwarsa/tidak amanMemiliki kerentanan serius seperti POODLE, semua browser modern telah menonaktifkannya
TLS 1.01999❌ KedaluwarsaKerentanan seperti BEAST, CRIME, dilarang digunakan sejak PCI DSS 2018
TLS 1.12006❌ KedaluwarsaSecara resmi kedaluwarsa di RFC 8996, Chrome/Firefox menghapus dukungan sejak 2020
TLS 1.22008⚠️ Didukung luas (transisi)Paling banyak diimplementasikan saat ini, kompatibilitas terbaik, tetapi ada risiko beberapa cipher suite lemah
TLS 1.32018 (RFC 8446)✅ DirekomendasikanHandshake lebih cepat (1-RTT/0-RTT), menghapus algoritma lemah, pilihan utama browser modern

Peringatan warna kedaluwarsa sertifikat dan saran tindakan

Sisa HariWarna StatusTindakan yang Disarankan
>30 hari🟢 Hijau (normal)Tidak perlu tindakan, cukup periksa secara berkala
7-30 hari🟡 Kuning (peringatan)Segera mulai proses perpanjangan, pastikan penggantian selesai sebelum kedaluwarsa
<7 hari🔴 Merah (mendesak)Perpanjang segera, setelah kedaluwarsa browser akan memblokir akses
0 hari/sudah kedaluwarsa🔴 Merah (kedaluwarsa)Sertifikat tidak valid, pengguna akan melihat peringatan keamanan, harus segera ditangani

Pemecahan masalah untuk jenis kesalahan SSL umum

Jenis KesalahanPenyebab UmumArah Penyelesaian
Sertifikat kedaluwarsa (expired)Sertifikat tidak diperpanjang setelah tanggal validToPerpanjang tepat waktu dan implementasikan sertifikat baru
Domain tidak cocok (name mismatch)Domain saat ini tidak ada dalam daftar SAN sertifikatTerbitkan sertifikat baru yang berisi domain target, atau periksa konfigurasi asal CDN
Rantai sertifikat tidak lengkap (incomplete chain)Server tidak mengonfigurasi sertifikat perantara dengan benarGabungkan sertifikat perantara dengan sertifikat daun untuk diimplementasikan
Sertifikat tanda tangan sendiri (self-signed)Sertifikat ditandatangani oleh CA pribadi, tidak dipercaya secara publikGunakan sertifikat yang diterbitkan oleh CA publik seperti Let's Encrypt
Penerbit tidak tepercaya (untrusted issuer)Sertifikat akar CA tidak ada dalam penyimpanan kepercayaan browserGanti dengan sertifikat yang diterbitkan oleh CA tepercaya

Authoritative References