logo
GeekFormat

SSL証明書チェッカー

証明書のプローブ

サーバーから直接TLSハンドシェイクを開始し、証明書を読んで、プロトコルを交渉し、残りの有効期限を取得します。

オンラインでSSL/TLS証明書をチェック。ドメインを入力すると、証明書の有効性、ドメインの一致、残り日数、TLSバージョン、暗号スイート、SANリストを確認できます。バックエンドからハンドシェイクを実行するためCORSの問題はありません。

関連おすすめ

ユースケース

  • ウェブサイトのリリース前または証明書の更新後、HTTPSが正常に機能していることを迅速に検証
  • 証明書有効期限アラート:残り日数を定期的にチェックし、予期せぬ期限切れによるアクセス中断を回避
  • ブラウザのHTTPSエラーのトラブルシューティング:期限切れ、ドメイン不一致、証明書チェーンの問題のいずれかを特定
  • CDN/リバースプロキシのデプロイ後、エッジノードの証明書が正しく読み込まれていることを検証
  • TLSプロトコルバージョンと暗号スイートがセキュリティコンプライアンス要件を満たしていることを確認
  • 複数ドメイン証明書のデプロイ後、SANリストがすべての対象ドメインをカバーしていることを検証

特徴

  • バックエンドTLSハンドシェイク:サーバーから直接TLS接続を開始し、ブラウザのCORS制限なしで任意のパブリックドメインをチェック可能
  • 認可ステータスの即時判断:証明書の有効性、ドメインの一致、認可エラー情報が一目でわかる
  • 残り日数のカラーアラート:>30日は緑、7-30日は黄、<7日は赤で更新タイミングをすばやく判断
  • コア設定の概要:TLSプロトコルバージョン、暗号スイート(Cipher)、ALPNプロトコルネゴシエーション結果が直接表示
  • 完全なSANリスト表示:すべてのサブジェクト代替名がタグ形式でリストされ、8個を超える場合は展開してすべて表示可能
  • デュアルフィンガープリントのワンクリックコピー:SHA-1とSHA-256フィンガープリントが個別に表示され、ワンクリックコピーに対応
  • 完全なJSONエクスポート:完全な証明書JSON構造を展開して表示し、詳細なトラブルシューティングとアーカイブのためにワンクリックコピーに対応

使い方

  1. チェックするドメインを入力します(例:geekformat.com、https://プレフィックスなし)
  2. 「証明書をチェック」ボタンをクリックし、TLSハンドシェイクの結果を1-3秒待ちます
  3. まず認可ステータス(緑は有効/赤は無効)と残り日数の色を確認します
  4. TLSバージョン、Cipher、ALPNネゴシエーションが期待どおりか確認します
  5. Subject/Issuer、有効期間、SANリストを表示して証明書情報が正しいことを確認します
  6. 詳細なトラブルシューティングが必要な場合は、JSONの詳細を展開して完全な証明書構造を表示し、アーカイブのためにコピーします

よくある質問

SSL証明書をチェックする必要があるのはなぜですか?

証明書の有効期限切れ、ドメインの不一致、設定ミスはHTTPSウェブサイトで最も一般的な問題です。有効期限が切れると、ブラウザは「安全ではない」警告を表示して訪問者が離れ、Google検索ランキングにも影響します。定期的なチェックと早期の更新は、HTTPSが正常に動作するための基本的な運用作業です。

このツールとSSL Labsの違いは何ですか?

SSL Labsは詳細なスコアリングを行い(プロトコル、スイート、脆弱性などの包括的なテストを含み、約2分かかります)、このツールは迅速な基本チェックを行います(1-3秒で結果を返します)。証明書の有効性、有効期限、TLSバージョン、暗号スイート、SANリストなどのコア情報をカバーし、リリース前の迅速な検証、更新確認、トラブルシューティングに適しています。

ブラウザでは直接アクセスできるのに、このツールでチェックに失敗するのはなぜですか?

考えられる原因:1) ウェブサイトが海外IPをブロックしている(チェックサーバーは海外にあります);2) サーバーがSNIで区別しているが設定が不完全;3) 企業イントラネットの自己署名証明書を使用している;4) ファイアウォールがチェックノードをブロックしている。チェック失敗は証明書に問題があることを意味するものではなく、具体的なエラーメッセージに基づいて判断してください。

TLS 1.2とTLS 1.3の違いは何ですか?

TLS 1.3(2018年、RFC 8446)は最新バージョンで、ハンドシェイク速度がTLS 1.2の2-RTTから1-RTT、さらには0-RTTに向上し、RSA鍵交換、RC4、SHA-1などの安全でないアルゴリズムを削除し、Forward Secrecy(前方秘匿性)をデフォルトで有効にし、セキュリティとパフォーマンスの両方が大幅に向上しています。新規デプロイではTLS 1.3のサポートを優先し、古いクライアントとの互換性のためにTLS 1.2を維持することを推奨します。

証明書の有効期限の何日前に更新すべきですか?

有効期限の30日前に更新準備を開始し、少なくとも7日前までにデプロイを完了することを推奨します。ツールはカラーアラートを使用しています:>30日は緑(正常)、7-30日は黄(更新が必要)、<7日は赤(緊急)。Let's Encrypt証明書の有効期間は90日間であるため、自動更新の設定を推奨します。

Let's Encrypt

SANリストとは何ですか?なぜ重要ですか?

SAN(Subject Alternative Name、サブジェクト代替名)は、証明書で使用が許可されているドメイン/IPのリストです。最新のブラウザ(Chrome 58+)はCommon Name(CN)フィールドを信頼しなくなり、SANのみをチェックします。アクセスしているドメインがSANリストにない場合、ブラウザは「ドメイン不一致」エラーを報告します。1枚の証明書でSANを使用して複数のドメイン(例:example.com、www.example.com、api.example.com)をカバーできます。

証明書のフィンガープリントを確認する必要があるのはなぜですか?

証明書フィンガープリント(SHA-1/SHA-256)は証明書コンテンツのハッシュ値であり、HPKP(廃止)、証明書ピン留め(Certificate Pinning)、およびデプロイされた証明書が期待どおりであることの手動検証に使用できます——例えば、CDNが新しい証明書を正しく読み込んだかどうかの確認や、複数のサーバー間で証明書が同一であることの検証などです。注:SHA-1フィンガープリントは識別のみを目的としており、セキュリティ検証には使用しないでください。

SSL/TLS証明書チェックとは何ですか?

SSL/TLS証明書チェックは、クライアントからTLSハンドシェイクを開始し、対象サーバーから返された証明書情報を取得・分析して、HTTPS設定が正しいかどうかを判断するプロセスです。コアチェック項目には以下が含まれます:証明書が有効期間内かどうか、アクセス中のドメインが証明書の許可リストにあるかどうか(SANマッチング)、証明書チェーンが完全で信頼できるかどうか、使用されているTLSプロトコルバージョンと暗号スイートが安全かどうかなど。

**証明書チェックがなぜそれほど重要なのですか?** SSL証明書はHTTPSの信頼基盤です。証明書に問題が発生すると(最も一般的なのは有効期限切れ)、ブラウザはアクセスを直接ブロックし、「この接続ではプライバシーが保護されません」という赤い警告ページを表示し、ウェブサイトのトラフィック、コンバージョン率、SEOランキング、ブランド信頼に直接的な損害を与えます。モニタリングによると、証明書の有効期限切れはHTTPS障害の最も一般的な原因であり、すべてのHTTPSインシデントの40%以上を占めています。

**ブラウザで直接アクセスするのと何が違うのですか?** ブラウザでのアクセスは、キャッシュ、HSTS、エンタープライズプロキシ、クライアント証明書などの要因により偏りが生じる可能性があります;一方、証明書チェックツールは独立したノードから標準TLSハンドシェイクを開始し、運用検証シナリオに適した客観的で標準化された証明書情報を返します。このツールはバックエンドサーバーから直接TLSハンドシェイクを開始するため、**ブラウザのCORS制限がなく**、パブリックに到達可能な任意のHTTPSドメインをチェックできます。

**このツールがチェックするコア情報**:証明書の認可ステータス(有効かどうか)、authorizationErrorの具体的なエラーメッセージ、TLSプロトコルバージョン(TLS 1.2/1.3)、ネゴシエートされた暗号スイート(Cipher)、ALPNプロトコルネゴシエーション結果(h2/http/1.1)、証明書発行者(Subject/Issuer)、有効期間の開始日と終了日(validFrom/validTo)、残り日数(カラーアラート付き)、SANサブジェクト代替名リスト、SHA-1/SHA-256フィンガープリント、レスポンス時間、および完全なJSONの詳細。

チェック結果は通常1-3秒で返され、リリース前の迅速な検証、更新確認、トラブルシューティングなどのシナリオに適しています。詳細なスコアリング(SSL LabsのA+-F評価など、再ネゴシエーション、脆弱性テスト、プロトコルサポートなどを含む)が必要な場合は、SSL Labs Server Testと併用することを推奨します。

术语表

SSL/TLS
SSL(Secure Sockets Layer)は1990年代にNetscapeが開発した暗号化プロトコルで、後にIETFによって標準化されTLS(Transport Layer Security)に改名されました。SSL 3.0以前のバージョンはすべて廃止されており、現在実際に使用されているのはTLS 1.2とTLS 1.3ですが、慣習的に「SSL証明書」と呼ばれることがよくあります。
HTTPS
HTTP over TLS。HTTPとTCPの間にTLS暗号化層を追加し、データの暗号化、サーバー認証、コンテンツの整合性保護を提供します。Google検索はHTTPSサイトにランキングの重み付けを与え、Chromeは非HTTPSサイトを「安全ではない」とマークします。
SAN (Subject Alternative Name)
X.509証明書の拡張フィールドで、この証明書の使用が許可されているすべてのドメイン名とIPアドレスをリストします。最新のブラウザ(Chrome 58+)はSANのみをチェックし、Common Name(CN)を参照しなくなりました。1枚のSAN証明書で複数のドメインを同時に保護できます。
証明書チェーン (Certificate Chain)
リーフ証明書(サーバー証明書)から中間CA証明書、そしてルートCA証明書への信頼チェーンです。サーバーはリーフ証明書+中間証明書を送信する必要があり、ブラウザはプレインストールされたルート証明書を介してチェーンの整合性を検証します。中間証明書の欠落は一般的な設定ミスです。
ALPN (Application-Layer Protocol Negotiation)
TLS拡張機能で、TLSハンドシェイク中にアプリケーション層プロトコルをネゴシエートできます(例:h2はHTTP/2、http/1.1はHTTP/1.1、h3はHTTP/3)。ハンドシェイク完了後、追加のラウンドトリップなしでネゴシエートされたプロトコルを直接使用できます。
Cipher Suite(暗号スイート)
TLSハンドシェイク中にネゴシエートされる暗号化アルゴリズムのセットで、鍵交換アルゴリズム、認証アルゴリズム、対称暗号化アルゴリズム、ハッシュアルゴリズムが含まれます(例:TLS_AES_256_GCM_SHA384)。安全な設定ではAEADスイート(GCM、ChaCha20-Poly1305など)を優先的に使用すべきです。
Let's Encrypt
ISRGが運営する無料で自動化されたオープンな認証局(CA)で、2016年に正式にリリースされ、30億枚以上の証明書を発行し、HTTPS導入の障壁を大幅に下げました。証明書の有効期間は90日間で、ACMEプロトコルを介して自動更新されます。Let's Encrypt公式サイト
フィンガープリント (Fingerprint)
証明書のDERエンコードされたコンテンツから計算されたハッシュ値で、一般的にSHA-1とSHA-256が使用されます。フィンガープリントは証明書を一意に識別し、証明書ピン留めやマルチノードの整合性検証に使用できます。SHA-1は衝突リスクによりセキュリティ目的には推奨されなくなりましたが、識別目的では広く使用されています。
SNI (Server Name Indication)
TLS拡張機能で、ハンドシェイク中にクライアントがアクセス先のドメイン名を送信することで、同じIP上のサーバーが複数の異なるドメインの証明書をデプロイできるようにします(HTTPのHostヘッダーに似ています)。SNIは最新のバーチャルホストHTTPSの基盤であり、SNIが設定されていないサーバーはデフォルトの証明書を返し、ドメイン不一致エラーを引き起こす可能性があります。
前方秘匿性 (Forward Secrecy / PFS)
セキュリティ特性:サーバーの秘密鍵が後で漏洩しても、以前に記録された暗号化セッショントラフィックを復号できないこと。ECDHEなどのエフェメラル鍵交換アルゴリズムを介して実現され、TLS 1.3では必須であり、最新のセキュリティ設定の推奨標準です。

TLSプロトコルバージョンの歴史と現状

プロトコルバージョンリリース年現在の状況備考
SSL 1.0-3.01995-1996❌ 廃止/不安全POODLEなどの重大な脆弱性が存在し、すべての最新ブラウザで無効化されています
TLS 1.01999❌ 廃止BEAST、CRIMEなどの脆弱性があり、PCI DSS 2018以降使用が禁止されています
TLS 1.12006❌ 廃止RFC 8996で正式に廃止され、Chrome/Firefoxは2020年にサポートを削除しました
TLS 1.22008⚠️ 広くサポート(移行期間)現在最も広くデプロイされ、互換性が最高ですが、一部の弱い暗号スイートのリスクがあります
TLS 1.32018 (RFC 8446)✅ 推奨ハンドシェイクが高速(1-RTT/0-RTT)、弱いアルゴリズムを削除、最新ブラウザで推奨されています

証明書有効期限のカラーアラートと推奨対応

残り日数ステータスカラー推奨アクション
>30日🟢 緑(正常)操作不要。定期的にチェックしてください
7-30日🟡 黄(警告)更新手続きを早急に開始し、有効期限前に交換を完了させてください
<7日🔴 赤(緊急)直ちに更新してください。期限切れ後はブラウザがアクセスをブロックします
0日/期限切れ🔴 赤(期限切れ)証明書が無効です。ユーザーはセキュリティ警告を見るため、直ちに対応が必要です

一般的なSSLエラーのトラブルシューティング

エラータイプ一般的な原因解決方法
証明書の有効期限切れ (expired)証明書がvalidTo日付を超えて更新されていない速やかに更新し、新しい証明書をデプロイしてください
ドメイン不一致 (name mismatch)証明書のSANリストに現在アクセス中のドメインが含まれていない対象ドメインを含む証明書を再発行するか、CDNのオリジン設定を確認してください
証明書チェーンの不完全 (incomplete chain)サーバーが中間証明書を正しく設定していない中間証明書とリーフ証明書を結合してデプロイしてください
自己署名証明書 (self-signed)証明書がプライベートCAによって発行され、公的に信頼されていないLet's Encryptなどの公的に信頼されたCAから証明書を発行してください
信頼されていない発行者 (untrusted issuer)CAルート証明書がブラウザの信頼ストアにない信頼されたCAが発行した証明書に交換してください

Authoritative References