SSL証明書チェッカー
証明書のプローブ
サーバーから直接TLSハンドシェイクを開始し、証明書を読んで、プロトコルを交渉し、残りの有効期限を取得します。
オンラインでSSL/TLS証明書をチェック。ドメインを入力すると、証明書の有効性、ドメインの一致、残り日数、TLSバージョン、暗号スイート、SANリストを確認できます。バックエンドからハンドシェイクを実行するためCORSの問題はありません。
サーバーから直接TLSハンドシェイクを開始し、証明書を読んで、プロトコルを交渉し、残りの有効期限を取得します。
オンラインでSSL/TLS証明書をチェック。ドメインを入力すると、証明書の有効性、ドメインの一致、残り日数、TLSバージョン、暗号スイート、SANリストを確認できます。バックエンドからハンドシェイクを実行するためCORSの問題はありません。
証明書の有効期限切れ、ドメインの不一致、設定ミスはHTTPSウェブサイトで最も一般的な問題です。有効期限が切れると、ブラウザは「安全ではない」警告を表示して訪問者が離れ、Google検索ランキングにも影響します。定期的なチェックと早期の更新は、HTTPSが正常に動作するための基本的な運用作業です。
SSL Labsは詳細なスコアリングを行い(プロトコル、スイート、脆弱性などの包括的なテストを含み、約2分かかります)、このツールは迅速な基本チェックを行います(1-3秒で結果を返します)。証明書の有効性、有効期限、TLSバージョン、暗号スイート、SANリストなどのコア情報をカバーし、リリース前の迅速な検証、更新確認、トラブルシューティングに適しています。
考えられる原因:1) ウェブサイトが海外IPをブロックしている(チェックサーバーは海外にあります);2) サーバーがSNIで区別しているが設定が不完全;3) 企業イントラネットの自己署名証明書を使用している;4) ファイアウォールがチェックノードをブロックしている。チェック失敗は証明書に問題があることを意味するものではなく、具体的なエラーメッセージに基づいて判断してください。
TLS 1.3(2018年、RFC 8446)は最新バージョンで、ハンドシェイク速度がTLS 1.2の2-RTTから1-RTT、さらには0-RTTに向上し、RSA鍵交換、RC4、SHA-1などの安全でないアルゴリズムを削除し、Forward Secrecy(前方秘匿性)をデフォルトで有効にし、セキュリティとパフォーマンスの両方が大幅に向上しています。新規デプロイではTLS 1.3のサポートを優先し、古いクライアントとの互換性のためにTLS 1.2を維持することを推奨します。
有効期限の30日前に更新準備を開始し、少なくとも7日前までにデプロイを完了することを推奨します。ツールはカラーアラートを使用しています:>30日は緑(正常)、7-30日は黄(更新が必要)、<7日は赤(緊急)。Let's Encrypt証明書の有効期間は90日間であるため、自動更新の設定を推奨します。
Let's EncryptSAN(Subject Alternative Name、サブジェクト代替名)は、証明書で使用が許可されているドメイン/IPのリストです。最新のブラウザ(Chrome 58+)はCommon Name(CN)フィールドを信頼しなくなり、SANのみをチェックします。アクセスしているドメインがSANリストにない場合、ブラウザは「ドメイン不一致」エラーを報告します。1枚の証明書でSANを使用して複数のドメイン(例:example.com、www.example.com、api.example.com)をカバーできます。
証明書フィンガープリント(SHA-1/SHA-256)は証明書コンテンツのハッシュ値であり、HPKP(廃止)、証明書ピン留め(Certificate Pinning)、およびデプロイされた証明書が期待どおりであることの手動検証に使用できます——例えば、CDNが新しい証明書を正しく読み込んだかどうかの確認や、複数のサーバー間で証明書が同一であることの検証などです。注:SHA-1フィンガープリントは識別のみを目的としており、セキュリティ検証には使用しないでください。
SSL/TLS証明書チェックは、クライアントからTLSハンドシェイクを開始し、対象サーバーから返された証明書情報を取得・分析して、HTTPS設定が正しいかどうかを判断するプロセスです。コアチェック項目には以下が含まれます:証明書が有効期間内かどうか、アクセス中のドメインが証明書の許可リストにあるかどうか(SANマッチング)、証明書チェーンが完全で信頼できるかどうか、使用されているTLSプロトコルバージョンと暗号スイートが安全かどうかなど。
**証明書チェックがなぜそれほど重要なのですか?** SSL証明書はHTTPSの信頼基盤です。証明書に問題が発生すると(最も一般的なのは有効期限切れ)、ブラウザはアクセスを直接ブロックし、「この接続ではプライバシーが保護されません」という赤い警告ページを表示し、ウェブサイトのトラフィック、コンバージョン率、SEOランキング、ブランド信頼に直接的な損害を与えます。モニタリングによると、証明書の有効期限切れはHTTPS障害の最も一般的な原因であり、すべてのHTTPSインシデントの40%以上を占めています。
**ブラウザで直接アクセスするのと何が違うのですか?** ブラウザでのアクセスは、キャッシュ、HSTS、エンタープライズプロキシ、クライアント証明書などの要因により偏りが生じる可能性があります;一方、証明書チェックツールは独立したノードから標準TLSハンドシェイクを開始し、運用検証シナリオに適した客観的で標準化された証明書情報を返します。このツールはバックエンドサーバーから直接TLSハンドシェイクを開始するため、**ブラウザのCORS制限がなく**、パブリックに到達可能な任意のHTTPSドメインをチェックできます。
**このツールがチェックするコア情報**:証明書の認可ステータス(有効かどうか)、authorizationErrorの具体的なエラーメッセージ、TLSプロトコルバージョン(TLS 1.2/1.3)、ネゴシエートされた暗号スイート(Cipher)、ALPNプロトコルネゴシエーション結果(h2/http/1.1)、証明書発行者(Subject/Issuer)、有効期間の開始日と終了日(validFrom/validTo)、残り日数(カラーアラート付き)、SANサブジェクト代替名リスト、SHA-1/SHA-256フィンガープリント、レスポンス時間、および完全なJSONの詳細。
チェック結果は通常1-3秒で返され、リリース前の迅速な検証、更新確認、トラブルシューティングなどのシナリオに適しています。詳細なスコアリング(SSL LabsのA+-F評価など、再ネゴシエーション、脆弱性テスト、プロトコルサポートなどを含む)が必要な場合は、SSL Labs Server Testと併用することを推奨します。
| プロトコルバージョン | リリース年 | 現在の状況 | 備考 |
|---|---|---|---|
SSL 1.0-3.0 | 1995-1996 | ❌ 廃止/不安全 | POODLEなどの重大な脆弱性が存在し、すべての最新ブラウザで無効化されています |
TLS 1.0 | 1999 | ❌ 廃止 | BEAST、CRIMEなどの脆弱性があり、PCI DSS 2018以降使用が禁止されています |
TLS 1.1 | 2006 | ❌ 廃止 | RFC 8996で正式に廃止され、Chrome/Firefoxは2020年にサポートを削除しました |
TLS 1.2 | 2008 | ⚠️ 広くサポート(移行期間) | 現在最も広くデプロイされ、互換性が最高ですが、一部の弱い暗号スイートのリスクがあります |
TLS 1.3 | 2018 (RFC 8446) | ✅ 推奨 | ハンドシェイクが高速(1-RTT/0-RTT)、弱いアルゴリズムを削除、最新ブラウザで推奨されています |
| 残り日数 | ステータスカラー | 推奨アクション |
|---|---|---|
| >30日 | 🟢 緑(正常) | 操作不要。定期的にチェックしてください |
| 7-30日 | 🟡 黄(警告) | 更新手続きを早急に開始し、有効期限前に交換を完了させてください |
| <7日 | 🔴 赤(緊急) | 直ちに更新してください。期限切れ後はブラウザがアクセスをブロックします |
| 0日/期限切れ | 🔴 赤(期限切れ) | 証明書が無効です。ユーザーはセキュリティ警告を見るため、直ちに対応が必要です |
| エラータイプ | 一般的な原因 | 解決方法 |
|---|---|---|
| 証明書の有効期限切れ (expired) | 証明書がvalidTo日付を超えて更新されていない | 速やかに更新し、新しい証明書をデプロイしてください |
| ドメイン不一致 (name mismatch) | 証明書のSANリストに現在アクセス中のドメインが含まれていない | 対象ドメインを含む証明書を再発行するか、CDNのオリジン設定を確認してください |
| 証明書チェーンの不完全 (incomplete chain) | サーバーが中間証明書を正しく設定していない | 中間証明書とリーフ証明書を結合してデプロイしてください |
| 自己署名証明書 (self-signed) | 証明書がプライベートCAによって発行され、公的に信頼されていない | Let's Encryptなどの公的に信頼されたCAから証明書を発行してください |
| 信頼されていない発行者 (untrusted issuer) | CAルート証明書がブラウザの信頼ストアにない | 信頼されたCAが発行した証明書に交換してください |