logo
GeekFormat

Verificatore Certificati SSL

Certificado probe

Initiate TLS handshake diretamente dal server, leggi il certificato, negozia il protocollo e la validità residua.

Verifica i certificati SSL/TLS online. Inserisci un dominio per visualizzare validità del certificato, corrispondenza dominio, giorni rimanenti, versione TLS, suite di cifratura e lista SAN. L'handshake viene avviato dal backend senza problemi CORS.

Raccomandazioni correlate

Casi d'uso

  • Verificare rapidamente se HTTPS funziona correttamente prima del lancio del sito web o dopo il rinnovo del certificato
  • Avvisi scadenza certificato: Controllare periodicamente i giorni rimanenti per evitare interruzioni di accesso per scadenza inaspettata
  • Risolvere errori HTTPS del browser: Localizzare se si tratta di scadenza, mancata corrispondenza dominio o problema di catena di certificati
  • Verificare che i certificati dei nodi edge siano caricati correttamente dopo il deployment di CDN/proxy inverso
  • Controllare se le versioni del protocollo TLS e le suite di cifratura soddisfano i requisiti di conformità di sicurezza
  • Verificare che la lista SAN copra tutti i domini target dopo il deployment di certificati multidominio

Funzionalità

  • Handshake TLS backend: Avvia la connessione TLS direttamente dal server, senza restrizioni CORS del browser, può verificare qualsiasi dominio pubblico
  • Valutazione istantanea dello stato di autorizzazione: Validità del certificato, corrispondenza dominio, informazioni di errore di autorizzazione a colpo d'occhio
  • Avvisi colore giorni rimanenti: >30 giorni verde, 7-30 giorni giallo, <7 giorni rosso per valutazione rapida del momento di rinnovo
  • Panoramica configurazione centrale: Versione del protocollo TLS, suite di cifratura (Cipher), risultati negoziazione protocollo ALPN direttamente visibili
  • Visualizzazione completa lista SAN: Tutti i Nomi Alternativi del Soggetto sono elencati come tag, espandibili per visualizzare tutti se più di 8
  • Copia con un clic impronte doppie: Impronte SHA-1 e SHA-256 visualizzate separatamente con supporto copia con un clic
  • Esportazione JSON completa: Espandibile per visualizzare la struttura JSON completa del certificato, supporta copia con un clic per risoluzione approfondita dei problemi e archiviazione

Come utilizzare

  1. Inserisci il dominio da verificare (es. geekformat.com, senza prefisso https://)
  2. Clicca sul pulsante 'Verifica Certificato' e attendi 1-3 secondi per i risultati dell'handshake TLS
  3. Prima verifica lo stato di autorizzazione (verde valido/rosso non valido) e il colore dei giorni rimanenti
  4. Controlla se versione TLS, Cipher e negoziazione ALPN soddisfano le aspettative
  5. Visualizza Subject/Issuer, periodo di validità, lista SAN per confermare che le informazioni del certificato siano corrette
  6. Per la risoluzione approfondita dei problemi, espandi i dettagli JSON per visualizzare la struttura completa del certificato e copia per l'archiviazione

Domande frequenti

Perché devo verificare i certificati SSL?

La scadenza dei certificati, la mancata corrispondenza di domini e gli errori di configurazione sono i tipi di guasto più comuni per i siti web HTTPS. Dopo la scadenza, i browser visualizzano un avviso 'Non sicuro' causando perdita di visitatori e anche il ranking di ricerca Google viene influenzato. La verifica regolare e il rinnovo anticipato sono attività DevOps di base per garantire il funzionamento normale di HTTPS.

Qual è la differenza tra questo verificatore e SSL Labs?

SSL Labs esegue un punteggio approfondito (inclusi test completi di protocolli, suite, vulnerabilità, impiegando circa 2 minuti), mentre questo strumento esegue verifiche rapide di base (restituisce risultati in 1-3 secondi), coprendo informazioni centrali come validità del certificato, scadenza, versione TLS, suite di cifratura e lista SAN, adatto per la validazione rapida prima del lancio, conferma di rinnovo e risoluzione dei problemi.

Perché i browser possono accedere direttamente ma questo strumento fallisce nella verifica?

Possibili cause: 1) Il sito web blocca IP stranieri (i server di verifica sono all'estero); 2) Il server effettua differenziazione SNI ma la configurazione è incompleta; 3) Utilizza un certificato autofirmato di intranet aziendale; 4) Il firewall blocca i nodi di verifica. Il fallimento della verifica non significa che il certificato ha problemi; deve essere giudicato in base a messaggi di errore specifici.

Qual è la differenza tra TLS 1.2 e TLS 1.3?

TLS 1.3 (2018, RFC 8446) è l'ultima versione, con velocità di handshake migliorata da 2-RTT di TLS 1.2 a 1-RTT o addirittura 0-RTT, rimuovendo algoritmi non sicuri come scambio di chiavi RSA, RC4 e SHA-1, abilitando Forward Secrecy per impostazione predefinita, con miglioramenti significativi sia in sicurezza che in prestazioni. Per nuovi deployment si consiglia di dare priorità al supporto di TLS 1.3 mantenendo TLS 1.2 per la compatibilità con client vecchi.

Quanti giorni prima della scadenza del certificato devo rinnovare?

Si consiglia di iniziare la preparazione del rinnovo 30 giorni prima della scadenza e completare la distribuzione almeno 7 giorni prima. Lo strumento utilizza avvisi colore: >30 giorni verde (normale), 7-30 giorni giallo (deve rinnovare), <7 giorni rosso (urgente). I certificati Let's Encrypt hanno una validità di 90 giorni; si consiglia di configurare il rinnovo automatico.

Let's Encrypt

Cos'è una lista SAN e perché è importante?

SAN (Subject Alternative Name, Nome Alternativo del Soggetto) è una lista di domini/IP dichiarati come consentiti per l'uso nel certificato. I browser moderni (Chrome 58+) non si fidano più del campo Common Name (CN) e verificano solo SAN. Se il dominio accesso non è nella lista SAN, i browser segnaleranno un errore di 'mancata corrispondenza nome'. Un certificato può coprire più domini tramite SAN (es. example.com, www.example.com, api.example.com).

Perché visualizzare le impronte digitali del certificato?

Le impronte digitali del certificato (SHA-1/SHA-256) sono valori hash del contenuto del certificato, utilizzabili per HPKP (obsoleto), pinning del certificato e verifica manuale che i certificati distribuiti corrispondano alle attese — ad esempio, confermare se CDN ha caricato correttamente nuovi certificati o verificare se i certificati sono identici tra più server. Nota: Le impronte SHA-1 sono solo per identificazione e non devono essere utilizzate per la verifica di sicurezza.

Cos'è la Verifica dei Certificati SSL/TLS?

La verifica dei certificati SSL/TLS è il processo di avvio di un handshake TLS dal client per ottenere e analizzare le informazioni del certificato restituite dal server target, determinando così se la configurazione HTTPS è corretta. Gli elementi centrali di verifica includono: se il certificato è entro il suo periodo di validità, se il dominio di accesso è nella lista consentita del certificato (corrispondenza SAN), se la catena di certificati è completa e attendibile, se la versione del protocollo TLS e le suite di cifratura utilizzate sono sicure, ecc.

**Perché la verifica dei certificati è così importante?** I certificati SSL sono la base di fiducia di HTTPS. Una volta che si verificano problemi con il certificato (il più comune è la scadenza), i browser bloccano direttamente l'accesso, visualizzando una pagina di avviso rossa 'La connessione non è privata', causando danni diretti al traffico del sito web, ai tassi di conversione, al ranking SEO e alla fiducia del marchio. Secondo il monitoraggio, la scadenza dei certificati è la causa più comune di guasti HTTPS, rappresentando oltre il 40% di tutti gli incidenti HTTPS.

**In cosa è diverso dall'accedere direttamente in un browser?** L'accesso tramite browser può presentare deviazioni dovute a cache, HSTS, proxy aziendali, certificati client, ecc.; mentre gli strumenti di verifica dei certificati avviano handshake TLS standard da nodi indipendenti, restituendo informazioni del certificato oggettive e standardizzate adatte per scenari di validazione DevOps. Questo strumento avvia handshake TLS direttamente dai server backend, **senza restrizioni CORS del browser**, e può verificare qualsiasi dominio HTTPS accessibile pubblicamente.

**Informazioni centrali verificate da questo strumento**: Stato di autorizzazione del certificato (valido o meno), messaggi di errore specifici authorizationError, versione del protocollo TLS (TLS 1.2/1.3), suite di cifratura negoziata (Cipher), risultati negoziazione protocollo ALPN (h2/http/1.1), emittente del certificato (Subject/Issuer), date di inizio e fine periodo di validità (validFrom/validTo), giorni rimanenti (con avvisi colore), lista Nomi Alternativi del Soggetto SAN, impronte SHA-1/SHA-256, tempo di risposta e dettagli JSON completi.

I risultati della verifica vengono generalmente restituiti in 1-3 secondi, adatti per scenari come validazione rapida prima del lancio, conferma di rinnovo e risoluzione dei problemi. Per un punteggio approfondito (come il rating A+-F di SSL Labs inclusa rinegoziazione, test di vulnerabilità, supporto protocolli, ecc.), si consiglia di utilizzare insieme a SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) è un protocollo di crittografia sviluppato da Netscape negli anni '90, successivamente standardizzato da IETF e rinominato TLS (Transport Layer Security). SSL 3.0 e versioni precedenti sono tutti obsoleti; attualmente nella pratica si utilizzano TLS 1.2 e TLS 1.3, ma per consuetudine si chiama ancora spesso 'certificato SSL'.
HTTPS
HTTP su TLS, che aggiunge uno strato di crittografia TLS tra HTTP e TCP per fornire crittografia dei dati, autenticazione del server e protezione dell'integrità del contenuto. La ricerca Google dà peso di ranking ai siti HTTPS e Chrome contrassegna i siti non HTTPS come 'Non sicuro'.
SAN (Subject Alternative Name)
Campo di estensione del certificato X.509 che elenca tutti i nomi di dominio e gli indirizzi IP consentiti per questo certificato. I browser moderni (Chrome 58+) verificano solo SAN e non guardano più Common Name (CN). Un certificato SAN può proteggere più domini contemporaneamente.
Catena di Certificati (Certificate Chain)
La catena di fiducia dal certificato foglia (certificato server) al certificato CA intermedio, quindi al certificato CA radice. Il server deve inviare certificato foglia + certificato intermedio; i browser verificano l'integrità della catena tramite certificati radice preinstallati. La mancanza di certificati intermedi è un errore di configurazione comune.
ALPN (Application-Layer Protocol Negotiation)
Estensione TLS che consente di negoziare protocolli di livello applicazione durante l'handshake TLS (es. h2 per HTTP/2, http/1.1 per HTTP/1.1, h3 per HTTP/3). Dopo il completamento dell'handshake, il protocollo negoziato viene utilizzato direttamente senza round trip aggiuntivi.
Cipher Suite(Suite di Cifratura)
Un insieme di combinazioni di algoritmi di crittografia negoziate durante l'handshake TLS, comprendente algoritmo di scambio chiavi, algoritmo di autenticazione, algoritmo di crittografia simmetrica e algoritmo di hash, come TLS_AES_256_GCM_SHA384. Le configurazioni sicure dovrebbero dare priorità alle suite AEAD (come GCM, ChaCha20-Poly1305).
Let's Encrypt
Un'autorità di certificazione (CA) gratuita, automatizzata e aperta gestita da ISRG, lanciata ufficialmente nel 2016, ha emesso oltre 3 miliardi di certificati, riducendo significativamente le barriere al deployment HTTPS. I certificati hanno una validità di 90 giorni, con rinnovo automatico tramite il protocollo ACME.Sito Ufficiale Let's Encrypt
Impronta Digitale (Fingerprint)
Valore hash calcolato dal contenuto codificato DER del certificato, comunemente SHA-1 e SHA-256. Le impronte digitali identificano in modo univoco un certificato, utilizzabili per il pinning del certificato e la verifica di coerenza multinodo. SHA-1 non è più consigliato per scopi di sicurezza a causa di rischi di collisione ma rimane ampiamente utilizzato per l'identificazione.
SNI (Server Name Indication)
Estensione TLS dove il client invia il nome di dominio target durante l'handshake, consentendo ai server sullo stesso IP di distribuire più certificati per domini diversi (simile all'intestazione Host di HTTP). SNI è la base dell'HTTPS di host virtuali moderni; i server senza SNI configurato restituiscono il certificato predefinito, che può causare errori di mancata corrispondenza del nome.
Forward Secrecy / PFS
Una proprietà di sicurezza: anche se la chiave privata del server viene compromessa in seguito, il traffico di sessione crittografato registrato in precedenza non può essere decifrato. Implementato tramite algoritmi di scambio chiavi effimeri come ECDHE, è obbligatorio per TLS 1.3 e uno standard consigliato per le configurazioni di sicurezza moderne.

Cronologia e Stato Attuale delle Versioni del Protocollo TLS

Versione ProtocolloAnno di RilascioStato AttualeNote
SSL 1.0-3.01995-1996❌ Obsoleto/Non sicuroContiene vulnerabilità critiche come POODLE; disabilitato da tutti i browser moderni
TLS 1.01999❌ ObsoletoVulnerabilità BEAST, CRIME; proibito da PCI DSS 2018
TLS 1.12006❌ ObsoletoUfficialmente obsoleto in RFC 8996; Chrome/Firefox hanno rimosso il supporto nel 2020
TLS 1.22008⚠️ Ampiamente Supportato (Transizione)Attualmente il più diffuso con migliore compatibilità, ma presenta rischi di alcune suite di cifratura deboli
TLS 1.32018 (RFC 8446)✅ ConsigliatoHandshake più veloce (1-RTT/0-RTT), algoritmi deboli rimossi, preferito dai browser moderni

Avvisi Colore per Scadenza Certificato e Raccomandazioni

Giorni RimanentiColore StatoAzione Consigliata
>30 giorni🟢 Verde (Normale)Nessuna azione necessaria; controllare periodicamente
7-30 giorni🟡 Giallo (Avviso)Avviare il processo di rinnovo il prima possibile per garantire la sostituzione prima della scadenza
<7 giorni🔴 Rosso (Urgente)Rinnovare immediatamente; i browser bloccheranno l'accesso dopo la scadenza
0 giorni/Scaduto🔴 Rosso (Scaduto)Il certificato non è valido; gli utenti visualizzeranno avvisi di sicurezza e deve essere gestito immediatamente

Risoluzione dei Problemi dei Tipi di Errori SSL Comuni

Tipo di ErroreCause ComuniDirezione Soluzione
Certificato scaduto (expired)Il certificato non è stato rinnovato oltre la data validToRinnovare e distribuire rapidamente un nuovo certificato
Mancata corrispondenza nome (name mismatch)Il dominio di accesso attuale non è nella lista SAN del certificatoRiemettere il certificato includendo il dominio target o verificare la configurazione origine CDN
Catena incompleta (incomplete chain)Il server non ha configurato correttamente i certificati intermediDistribuire il certificato intermedio combinato con il certificato foglia
Certificato autofirmato (self-signed)Il certificato è stato emesso da una CA privata, non è pubblicamente attendibileUtilizzare una CA pubblicamente attendibile come Let's Encrypt per emettere il certificato
Emittente non attendibile (untrusted issuer)Il certificato radice della CA non è nel repository di fiducia del browserSostituire con un certificato emesso da una CA attendibile

Authoritative References