logo
GeekFormat

SSL Certificaat Controle

Certificaatsonde

TLS-handshake rechtstreeks vanaf de server starten, certificaat lezen, protocol onderhandelen en resterende geldigheid controleren.

Controleer online SSL/TLS-certificaten, voer een domein in om te zien of het certificaat geldig is, het domein overeenkomt, resterende dagen, TLS-versie, coderingssuites en SAN-lijst, backend start handshake zonder CORS-problemen.

Gerelateerde aanbevelingen

Toepassingsgevallen

  • Snelle verificatie of HTTPS correct werkt vóór websitelancering/na certificaatvernieuwing
  • Waarschuwing voor certificaatverlopen: Controleer regelmatig resterende dagen om onverwachte onderbrekingen door verlopen te voorkomen
  • HTTPS-fouten in browsers oplossen: Vaststellen of het gaat om verlopen, domein die niet overeenkomt of certificaatketenproblemen
  • Verifiëren of edge-nodecertificaten correct zijn geladen na CDN/reverse proxy-implementatie
  • Controleren of TLS-protocolversie en coderingssuites voldoen aan beveiligings- en nalevingsvereisten
  • Verifiëren of SAN-lijst alle doeldomeinen dekt na implementatie van meerdomeinencertificaten

Functies

  • Backend TLS-handshake: Start TLS-verbinding direct vanaf de server, geen browser CORS-beperkingen, kan elk publiek domein controleren
  • Directe beoordeling van autorisatiestatus: Of het certificaat geldig is, domein overeenkomt en autorisatiefoutinformatie zijn direct zichtbaar
  • Kleurwaarschuwingen voor resterende dagen: >30 dagen groen, 7-30 dagen geel, <7 dagen rood, snelle beoordeling van vernieuwingstijdstip
  • Kernconfiguratie in één oogopslag: TLS-protocolversie, Cipher, ALPN-onderhandelingsresultaten direct zichtbaar
  • Volledige SAN-lijstweergave: Alle Subject Alternative Names worden als tags weergegeven, meer dan 8 kunnen worden uitgevouwen om alles te bekijken
  • Dubbele vingerafdruk met één klik kopiëren: SHA-1 en SHA-256 vingerafdrukken afzonderlijk weergegeven en ondersteunen kopiëren met één klik
  • Volledige JSON-export: Kan volledige JSON-structuur van certificaat uitvouwen, ondersteunt kopiëren met één klik voor diepgaand onderzoek en archivering

Hoe te gebruiken

  1. Voer het te controleren domein in (zoals geekformat.com, zonder https:// voorvoegsel)
  2. Klik op de knop 'Certificaat controleren', wacht 1-3 seconden om TLS-handshakeresultaten te verkrijgen
  3. Bekijk eerst de autorisatiestatus (groen geldig/rood ongeldig) en de kleur van resterende dagen
  4. Controleer of TLS-versie, Cipher, ALPN-onderhandeling aan verwachtingen voldoen
  5. Bekijk Subject/Issuer, geldigheidsduur, SAN-lijst om te bevestigen dat certificaatinformatie correct is
  6. Voor diepgaand onderzoek vouwt u JSON-details uit om de volledige certificaatstructuur te bekijken en te kopiëren voor archivering

Veelgestelde vragen

Waarom moet ik SSL-certificaten controleren?

Verlopen SSL-certificaten, domein die niet overeenkomen en configuratiefouten zijn de meest voorkomende storingstypen voor HTTPS-websites. Nadat een certificaat is verlopen, tonen browsers een 'onveilig'-waarschuwing die bezoekers wegjaagt, en de Google-zoekranglijst wordt ook beïnvloed. Regelmatige controle en vroegtijdige vernieuwing zijn basisonderhoudstaken om HTTPS goed te laten werken.

Wat is het verschil tussen certificaatcontrole en SSL Labs?

SSL Labs doet diepgaande scores (inclusief uitgebreide tests van protocollen, suites, kwetsbaarheden, duurt ongeveer 2 minuten), deze tool doet snelle basiscontrole (resultaten in 1-3 seconden), dekt kerninformatie zoals certificaatgeldigheid, geldigheidsduur, TLS-versie, coderingssuites, SAN-lijst, geschikt voor snelle verificatie vóór lancering, bevestiging van vernieuwing, foutopsporing.

Waarom kunnen browsers direct toegang krijgen, maar mislukt de controle met deze tool?

Mogelijke oorzaken: 1) De website blokkeert buitenlandse IP-adressen (controleserver staat in het buitenland); 2) Server heeft SNI-onderscheid maar configuratie is onvolledig; 3) Er wordt een zelfondertekend certificaat voor bedrijfsintranet gebruikt; 4) Firewall blokkeert de controlepunten. Een mislukte controle betekent niet dat het certificaat een probleem heeft, dit moet worden beoordeeld op basis van specifieke foutinformatie.

Wat is het verschil tussen TLS 1.2 en TLS 1.3?

TLS 1.3 (2018, RFC 8446) is de nieuwste versie, handsnelheid verbeterd van 2-RTT in TLS 1.2 naar 1-RTT of zelfs 0-RTT, onveilige algoritmen zoals RSA-sleuteluitwisseling, RC4, SHA-1 verwijderd, Forward Secrecy standaard ingeschakeld, beveiliging en prestaties zijn aanzienlijk verbeterd. Nieuwe implementaties moeten bij voorkeur TLS 1.3 ondersteunen en TLS 1.2 behouden voor compatibiliteit met oude clients.

Hoeveel dagen voordat het certificaat verloopt, moet ik vernieuwen?

Het wordt aanbevolen om 30 dagen vóór verlopen te beginnen met voorbereiden voor vernieuwing, en de implementatie ten minste 7 dagen van tevoren te voltooien. De tool gebruikt kleurwaarschuwingen: >30 dagen groen (normaal), 7-30 dagen geel (moet vernieuwen), <7 dagen rood (dringend). Let's Encrypt-certificaten zijn 90 dagen geldig, automatische vernieuwing wordt aanbevolen.

Let's Encrypt

Wat is een SAN-lijst? Waarom is het belangrijk?

SAN (Subject Alternative Name) is een lijst met domeinen/IP-adressen in het certificaat die mogen worden gebruikt. Moderne browsers (Chrome 58+) vertrouwen het Common Name(CN)-veld niet meer en controleren alleen SAN. Als het bezochte domein niet in de SAN-lijst staat, melden browsers een 'domein komt niet overeen'-fout. Eén certificaat kan meerdere domeinen dekken via SAN (zoals example.com, www.example.com, api.example.com).

Waarom moet ik certificaatvingerafdrukken bekijken?

Certificaatvingerafdrukken (SHA-1/SHA-256) zijn hashwaarden van de certificaatinhoud, die kunnen worden gebruikt voor HPKP (verouderd), Certificate Pinning en handmatige verificatie of het geïmplementeerde certificaat overeenkomt met het verwachte certificaat, bijvoorbeeld om te bevestigen of een CDN het nieuwe certificaat correct heeft geladen, of om certificaten tussen meerdere servers te vergelijken. Opmerking: SHA-1-vingerafdrukken worden alleen gebruikt voor identificatie, niet voor beveiligingsverificatie.

Wat is SSL/TLS-certificaatcontrole?

SSL/TLS-certificaatcontrole is het proces waarbij een TLS-handshake wordt gestart vanaf een client, de certificaatinformatie die door de doelserver wordt geretourneerd wordt opgehaald en geanalyseerd, om te bepalen of de HTTPS-configuratie correct is. Kerncontrolepunten zijn onder andere: of het certificaat binnen de geldigheidsduur valt, het bezochte domein in de toegestane lijst van het certificaat staat (SAN-overeenkomst), de certificaatketen compleet en vertrouwd is, of de gebruikte TLS-protocolversie en coderingssuites veilig zijn.

**Waarom is certificaatcontrole zo belangrijk?** SSL-certificaten vormen de vertrouwensbasis van HTTPS. Zodra er een probleem is met een certificaat (meestal verlopen), blokkeren browsers de toegang direct en tonen ze een rode waarschuwingspagina 'Uw verbinding is niet privé', wat directe schade toebrengt aan websiteverkeer, conversiepercentages, SEO-ranglijst en merkvertrouwen. Volgens monitoring is certificaatverlopen de meest voorkomende oorzaak van HTTPS-storingen, goed voor meer dan 40% van alle HTTPS-incidenten.

**Wat is het verschil met direct toegang via een browser?** Browsertoegang kan worden beïnvloed door cache, HSTS, bedrijfsproxy's, clientcertificaten en andere factoren die afwijkingen veroorzaken; terwijl certificaatcontroletools een standaard TLS-handshake starten vanaf een onafhankelijk knooppunt en objectieve, gestandaardiseerde certificaatinformatie retourneren, geschikt voor operationele verificatiescenario's. Deze tool start TLS-handshakes direct vanaf de backendserver, **zonder browser CORS-beperkingen**, en kan elk publiek bereikbaar HTTPS-domein controleren.

**Kerninformatie die deze tool controleert**: Certificaatautorisatiestatus (geldig of niet), specifieke authorizationError-foutinformatie, TLS-protocolversie (TLS 1.2/1.3), onderhandelde coderingssuite (Cipher), ALPN-protocolonderhandelingsresultaat (h2/http/1.1), certificaatautorisatie (Subject/Issuer), geldigheidsdata (validFrom/validTo), resterende dagen (met kleurwaarschuwingen), SAN Subject Alternative Name-lijst, SHA-1/SHA-256 vingerafdrukken, responstijd en volledige JSON-details.

Resultaten worden meestal binnen 1-3 seconden geretourneerd, geschikt voor snelle verificatie vóór lancering, bevestiging van vernieuwing, foutopsporing en andere scenario's. Voor diepgaande scores (zoals SSL Labs' A+-F-classificatie, inclusief heronderhandeling, kwetsbaarheidstests, protocolondersteuning, enz.), wordt aanbevolen om SSL Labs Server Test te gebruiken.

术语表

SSL/TLS
SSL (Secure Sockets Layer) is een coderingsprotocol ontwikkeld door Netscape in de jaren 90, later gestandaardiseerd door IETF en hernoemd naar TLS (Transport Layer Security). SSL 3.0 en eerdere versies zijn allemaal verouderd, momenteel worden TLS 1.2 en TLS 1.3 daadwerkelijk gebruikt, maar het wordt nog steeds vaak 'SSL-certificaat' genoemd.
HTTPS
HTTP over TLS, voegt een TLS-coderingslaag toe tussen HTTP en TCP, biedt gegevenscodering, serveridentiteitsverificatie en bescherming van inhoudsintegriteit. Google-zoeken geeft gewicht aan HTTPS-sites, Chrome markeert niet-HTTPS-sites als 'onveilig'.
SAN (Subject Alternative Name)
X.509-certificaatuitbreidingsveld, dat alle domeinen en IP-adressen vermeldt die voor dit certificaat mogen worden gebruikt. Moderne browsers (Chrome 58+) controleren alleen SAN en niet langer Common Name(CN). Eén SAN-certificaat kan meerdere domeinen tegelijk beschermen.
Certificaatketen (Certificate Chain)
De vertrouwensketen van bladcertificaat (servercertificaat) naar tussenliggend CA-certificaat en vervolgens naar root-CA-certificaat. De server moet bladcertificaat + tussenliggende certificaten verzenden, browsers verifiëren de ketenintegriteit via vooraf geïnstalleerde rootcertificaten. Ontbrekende tussenliggende certificaten zijn een veelvoorkomende configuratiefout.
ALPN (Application-Layer Protocol Negotiation)
TLS-uitbreiding, waarmee applicatielaagprotocollen kunnen worden onderhandeld tijdens de TLS-handshake (zoals h2 voor HTTP/2, http/1.1 voor HTTP/1.1, h3 voor HTTP/3). Na voltooiing van de handshake wordt het onderhandelde protocol direct gebruikt, zonder extra round-trips.
Cipher Suite (coderingssuite)
Een set coderingsalgoritmen die wordt onderhandeld tijdens TLS-handshake, bestaande uit sleuteluitwisselingsalgoritme, authenticatiealgoritme, symmetrisch coderingsalgoritme en hash-algoritme, zoals TLS_AES_256_GCM_SHA384. Veilige configuraties moeten bij voorkeur AEAD-suites gebruiken (zoals GCM, ChaCha20-Poly1305).
Let's Encrypt
Een gratis, geautomatiseerde, open certificeringsinstantie (CA) beheerd door ISRG, gelanceerd in 2016, heeft meer dan 3 miljard certificaten uitgegeven en de drempel voor HTTPS-implementatie aanzienlijk verlaagd. Certificaten zijn 90 dagen geldig, automatisch vernieuwd via ACME-protocol.Let's Encrypt-website
Certificaatvingerafdruk (Fingerprint)
Hashwaarde berekend over de DER-gecodeerde inhoud van het certificaat, veelal SHA-1 en SHA-256. Vingerafdrukken worden gebruikt om een certificaat uniek te identificeren, voor Certificate Pinning en consistentieverificatie tussen meerdere nodes. SHA-1 wordt niet aanbevolen voor beveiligingsdoeleinden vanwege collisionrisico, maar wordt nog steeds veel gebruikt voor identificatie.
SNI (Server Name Indication)
TLS-uitbreiding, waarbij de client al in de handshake-fase het te bezoeken domein verzendt, zodat een server op hetzelfde IP meerdere certificaten voor verschillende domeinen kan implementeren (vergelijkbaar met de Host-header van HTTP). SNI is de basis van moderne virtuele host-HTTPS, servers zonder SNI-configuratie retourneren het standaardcertificaat, wat kan leiden tot domein die niet overeenkomen.
Forward Secrecy (PFS)
Een beveiligingseigenschap: zelfs als de privésleutel van de server in de toekomst wordt gelekt, kunnen eerder vastgelegde versleutelde sessieverkeer niet worden ontsleuteld. Dit wordt bereikt via tijdelijke sleuteluitwisselingsalgoritmen zoals ECDHE, is verplicht in TLS 1.3 en is een aanbevolen standaard voor moderne beveiligingsconfiguraties.

TLS-protocolversie geschiedenis en status

ProtocolversiePublicatiejaarHuidige statusOpmerkingen
SSL 1.0-3.01995-1996❌ Verouderd/onveiligErnstige kwetsbaarheden zoals POODLE, uitgeschakeld in alle moderne browsers
TLS 1.01999❌ VerouderdKwetsbaarheden zoals BEAST, CRIME, verboden sinds PCI DSS 2018
TLS 1.12006❌ VerouderdOfficieel verouderd in RFC 8996, verwijderd uit Chrome/Firefox sinds 2020
TLS 1.22008⚠️ Breed ondersteund (overgang)Meest wijdverbreid geïmplementeerd, beste compatibiliteit, maar risico op sommige zwakke coderingssuites
TLS 1.32018 (RFC 8446)✅ AanbevolenSnellere handshake (1-RTT/0-RTT), verwijdering van zwakke algoritmen, eerste keus voor moderne browsers

Kleurwaarschuwingen voor certificaatverlopen en aanbevelingen

Resterende dagenStatuskleurAanbevolen actie
>30 dagen🟢 Groen (normaal)Geen actie nodig, controleer regelmatig
7-30 dagen🟡 Geel (waarschuwing)Start zo snel mogelijk het vernieuwingsproces, zorg voor vervanging vóór verlopen
<7 dagen🔴 Rood (dringend)Vernieuw onmiddellijk, na verlopen blokkeren browsers de toegang
0 dagen/verlopen🔴 Rood (verlopen)Certificaat is ongeldig, gebruikers zien een beveiligingswaarschuwing, moet onmiddellijk worden verwerkt

Probleemoplossing voor veelvoorkomende SSL-fouttypen

FouttypeVeelvoorkomende oorzaakOplossingsrichting
Certificaat verlopen (expired)Certificaat is niet vernieuwd na de validTo-datumTijdig vernieuwen en nieuw certificaat implementeren
Domein komt niet overeen (name mismatch)Huidige domein staat niet in de SAN-lijst van het certificaatVraag een nieuw certificaat aan met het doeldomein, of controleer CDN-originconfiguratie
Onvolledige certificaatketen (incomplete chain)Server heeft tussenliggende certificaten niet correct geconfigureerdCombineer tussenliggende certificaten met bladcertificaat voor implementatie
Zelfondertekend certificaat (self-signed)Certificaat is ondertekend door een privé-CA, niet publiek vertrouwdGebruik een certificaat van een publieke CA zoals Let's Encrypt
Niet-vertrouwde uitgever (untrusted issuer)CA-rootcertificaat staat niet in de vertrouwensopslag van de browserVervang door een certificaat van een vertrouwde CA

Authoritative References