logo
GeekFormat

Sprawdzanie Certyfikatów SSL

Sonda certyfikatu

Zainicjuj uzgadnianie TLS bezpośrednio z serwera, odczytaj certyfikat, negocjuj protokół i pozostały czas ważności.

Sprawdź online certyfikaty SSL/TLS, wprowadź domenę aby zobaczyć czy certyfikat jest ważny, domena się zgadza, pozostałe dni, wersja TLS, zestawy szyfrów i lista SAN, backend inicjuje uzgadnianie bez problemów CORS.

Powiązane Rekomendacje

Przypadki użycia

  • Szybka weryfikacja czy HTTPS działa poprawnie przed uruchomieniem witryny/po odnowieniu certyfikatu
  • Ostrzeżenie o wygaśnięciu certyfikatu: Regularnie sprawdzaj pozostałe dni aby uniknąć nieoczekiwanych przerw w dostępie spowodowanych wygaśnięciem
  • Rozwiązywanie błędów HTTPS w przeglądarce: Ustal czy problem dotyczy wygaśnięcia, niezgodności domeny czy łańcucha certyfikatów
  • Weryfikacja czy certyfikaty węzłów brzegowych są poprawnie załadowane po wdrożeniu CDN/odwrotnego proxy
  • Sprawdzanie czy wersja protokołu TLS i zestawy szyfrów spełniają wymagania bezpieczeństwa i zgodności
  • Weryfikacja czy lista SAN obejmuje wszystkie domeny docelowe po wdrożeniu certyfikatów wielodomenowych

Funkcje

  • Uzgadnianie TLS backendu: Inicjuje połączenie TLS bezpośrednio z serwera, bez ograniczeń CORS przeglądarki, może sprawdzić dowolną publiczną domenę
  • Natychmiastowa ocena statusu autoryzacji: Czy certyfikat jest ważny, domena się zgadza oraz informacje o błędach autoryzacji są od razu widoczne
  • Ostrzeżenia kolorystyczne o pozostałych dniach: >30 dni zielony, 7-30 dni żółty, <7 dni czerwony, szybka ocena terminu odnowienia
  • Konfiguracja podstawowa w skrócie: Wersja protokołu TLS, Cipher, wyniki negocjacji ALPN bezpośrednio widoczne
  • Pełny podgląd listy SAN: Wszystkie Subject Alternative Name są wyświetlane jako tagi, ponad 8 można rozwinąć aby zobaczyć wszystkie
  • Podwójny odcisk palca z kopiowaniem jednym kliknięciem: Odciski SHA-1 i SHA-256 wyświetlane oddzielnie i obsługują kopiowanie jednym kliknięciem
  • Pełny eksport JSON: Można rozwinąć aby zobaczyć pełną strukturę JSON certyfikatu, obsługuje kopiowanie jednym kliknięciem do dogłębnej analizy i archiwizacji

Jak Używać

  1. Wprowadź domenę do sprawdzenia (np. geekformat.com, bez prefiksu https://)
  2. Kliknij przycisk „Sprawdź certyfikat”, poczekaj 1-3 sekundy na uzyskanie wyników uzgadniania TLS
  3. Najpierw sprawdź status autoryzacji (zielony ważny/czerwony nieważny) oraz kolor pozostałych dni
  4. Sprawdź czy wersja TLS, Cipher, negocjacja ALPN spełniają oczekiwania
  5. Przejrzyj Subject/Issuer, okres ważności, listę SAN aby potwierdzić poprawność informacji o certyfikacie
  6. Do dogłębnej analizy rozwiń szczegóły JSON aby zobaczyć pełną strukturę certyfikatu i skopiować do archiwizacji

Często Zadawane Pytania

Dlaczego trzeba sprawdzać certyfikaty SSL?

Wygasłe certyfikaty SSL, niezgodność domen i błędy konfiguracji to najczęstsze typy awarii witryn HTTPS. Po wygaśnięciu certyfikatu przeglądarki wyświetlają ostrzeżenie „niezabezpieczone”, które odstrasza odwiedzających, a także ma wpływ na pozycję w wyszukiwarce Google. Regularne sprawdzanie i wczesne odnawianie to podstawowe zadania konserwacyjne zapewniające prawidłowe działanie HTTPS.

Jaka jest różnica między sprawdzaniem certyfikatów a SSL Labs?

SSL Labs wykonuje dogłębną ocenę (w tym kompleksowe testy protokołów, zestawów, luk bezpieczeństwa, trwa około 2 minut), to narzędzie wykonuje szybkie podstawowe sprawdzanie (wyniki w 1-3 sekundy), obejmuje podstawowe informacje takie jak ważność certyfikatu, okres ważności, wersja TLS, zestawy szyfrów, lista SAN, odpowiednie do szybkiej weryfikacji przed uruchomieniem, potwierdzenia odnowienia, rozwiązywania błędów.

Dlaczego przeglądarki mogą uzyskać bezpośredni dostęp, ale sprawdzanie tym narzędziem kończy się niepowodzeniem?

Możliwe przyczyny: 1) Witryna blokuje zagraniczne adresy IP (serwer sprawdzający znajduje się za granicą); 2) Serwer dokonuje rozróżnienia SNI ale konfiguracja jest niekompletna; 3) Używany jest certyfikat samopodpisany dla intranetu korporacyjnego; 4) Firewall blokuje węzły sprawdzające. Niepowodzenie sprawdzania nie oznacza że certyfikat ma problem, należy ocenić na podstawie konkretnych informacji o błędzie.

Jaka jest różnica między TLS 1.2 a TLS 1.3?

TLS 1.3 (2018, RFC 8446) to najnowsza wersja, szybkość uzgadniania poprawiona z 2-RTT w TLS 1.2 do 1-RTT a nawet 0-RTT, usunięto niebezpieczne algorytmy takie jak wymiana kluczy RSA, RC4, SHA-1, domyślnie włączono Forward Secrecy, bezpieczeństwo i wydajność uległy znacznej poprawie. Nowe wdrożenia powinny preferencyjnie obsługiwać TLS 1.3 i zachować TLS 1.2 dla kompatybilności ze starymi klientami.

Ile dni przed wygaśnięciem certyfikatu należy odnowić?

Zaleca się rozpoczęcie przygotowań do odnowienia 30 dni przed wygaśnięciem, a zakończenie wdrożenia co najmniej 7 dni wcześniej. Narzędzie używa ostrzeżeń kolorystycznych: >30 dni zielony (normalny), 7-30 dni żółty (należy odnowić), <7 dni czerwony (pilne). Certyfikaty Let's Encrypt są ważne 90 dni, zaleca się automatyczne odnawianie.

Let's Encrypt

Co to jest lista SAN? Dlaczego jest ważna?

SAN (Subject Alternative Name) to lista domen/adresów IP w certyfikacie, które są dozwolone do użycia. Nowoczesne przeglądarki (Chrome 58+) nie ufają już polu Common Name(CN) i sprawdzają tylko SAN. Jeśli odwiedzana domena nie znajduje się na liście SAN, przeglądarki zgłoszą błąd „niezgodność domeny”. Jeden certyfikat może obejmować wiele domen poprzez SAN (np. example.com, www.example.com, api.example.com).

Dlaczego trzeba sprawdzać odciski palców certyfikatu?

Odciski palców certyfikatu (SHA-1/SHA-256) to wartości skrótu treści certyfikatu, które mogą być używane do HPKP (przestarzałe), Certificate Pinning oraz ręcznej weryfikacji czy wdrożony certyfikat zgadza się z oczekiwanym, np. aby potwierdzić czy CDN poprawnie załadował nowy certyfikat lub porównać certyfikaty między wieloma serwerami. Uwaga: odciski palców SHA-1 są używane tylko do identyfikacji, nie do weryfikacji bezpieczeństwa.

Co to jest sprawdzanie certyfikatów SSL/TLS?

Sprawdzanie certyfikatów SSL/TLS to proces polegający na inicjowaniu uzgadniania TLS z klienta, pobieraniu i analizowaniu informacji o certyfikacie zwróconych przez docelowy serwer w celu określenia czy konfiguracja HTTPS jest poprawna. Podstawowe punkty sprawdzania obejmują: czy certyfikat mieści się w okresie ważności, odwiedzana domena znajduje się na liście dozwolonych certyfikatu (zgodność SAN), łańcuch certyfikatów jest kompletny i zaufany, używane wersje protokołu TLS i zestawy szyfrów są bezpieczne itp.

**Dlaczego sprawdzanie certyfikatów jest tak ważne?** Certyfikaty SSL stanowią podstawę zaufania HTTPS. Gdy wystąpi problem z certyfikatem (najczęściej wygaśnięcie), przeglądarki natychmiast blokują dostęp i wyświetlają czerwoną stronę ostrzeżenia „Twoje połączenie nie jest prywatne”, co bezpośrednio szkodzi ruchowi witryny, współczynnikom konwersji, pozycji SEO i zaufaniu do marki. Według monitorowania wygaśnięcie certyfikatu jest najczęstszą przyczyną awarii HTTPS, odpowiadając za ponad 40% wszystkich incydentów HTTPS.

**Co jest innego w porównaniu z bezpośrednim dostępem przez przeglądarkę?** Dostęp przez przeglądarkę może być pod wpływem pamięci podręcznej, HSTS, proxy korporacyjnych, certyfikatów klientów i innych czynników powodujących odchylenia; podczas gdy narzędzia do sprawdzania certyfikatów inicjują standardowe uzgadnianie TLS z niezależnego węzła i zwracają obiektywne, ustandaryzowane informacje o certyfikacie, odpowiednie do scenariuszy weryfikacji operacyjnej. To narzędzie inicjuje uzgadnianie TLS bezpośrednio z serwera backendowego, **bez ograniczeń CORS przeglądarki**, i może sprawdzić dowolną publicznie dostępną domenę HTTPS.

**Podstawowe informacje sprawdzane przez to narzędzie**: Status autoryzacji certyfikatu (ważny czy nie), konkretne informacje o błędzie authorizationError, wersja protokołu TLS (TLS 1.2/1.3), negocjowany zestaw szyfrów (Cipher), wynik negocjacji protokołu ALPN (h2/http/1.1), wystawca certyfikatu (Subject/Issuer), daty ważności (validFrom/validTo), pozostałe dni (z ostrzeżeniami kolorystycznymi), lista SAN Subject Alternative Name, odciski palców SHA-1/SHA-256, czas odpowiedzi oraz pełne szczegóły JSON.

Wyniki są zwykle zwracane w ciągu 1-3 sekund, odpowiednie do scenariuszy takich jak szybka weryfikacja przed uruchomieniem, potwierdzenie odnowienia, rozwiązywanie błędów itp. Do dogłębnej oceny (takiej jak klasyfikacja A+-F SSL Labs, w tym renegocjacja, testy luk, obsługa protokołów itp.), zaleca się użycie SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) to protokół szyfrowania opracowany przez Netscape w latach 90., później ustandaryzowany przez IETF i przemianowany na TLS (Transport Layer Security). SSL 3.0 i wcześniejsze wersje są wszystkie przestarzałe, obecnie faktycznie używane są TLS 1.2 i TLS 1.3, ale zwyczajowo nadal często nazywa się je „certyfikatami SSL”.
HTTPS
HTTP over TLS, dodaje warstwę szyfrowania TLS między HTTP a TCP, zapewnia szyfrowanie danych, uwierzytelnianie serwera i ochronę integralności treści. Wyszukiwanie Google nadaje wagę witrynom HTTPS, Chrome oznacza witryny nie-HTTPS jako „niezabezpieczone”.
SAN (Subject Alternative Name)
Pole rozszerzenia certyfikatu X.509, wymieniające wszystkie domeny i adresy IP, które mogą być używane z tym certyfikatem. Nowoczesne przeglądarki (Chrome 58+) sprawdzają tylko SAN, a nie już Common Name(CN). Jeden certyfikat SAN może chronić wiele domen jednocześnie.
Łańcuch certyfikatów (Certificate Chain)
Łańcuch zaufania od certyfikatu liściowego (certyfikat serwera) do pośredniego certyfikatu CA, a następnie do certyfikatu głównego CA. Serwer musi wysłać certyfikat liściowy + certyfikaty pośrednie, przeglądarki weryfikują integralność łańcucha za pomocą wstępnie zainstalowanych certyfikatów głównych. Brakujące certyfikaty pośrednie to częsty błąd konfiguracji.
ALPN (Application-Layer Protocol Negotiation)
Rozszerzenie TLS, pozwalające negocjować protokoły warstwy aplikacji podczas uzgadniania TLS (np. h2 dla HTTP/2, http/1.1 dla HTTP/1.1, h3 dla HTTP/3). Po zakończeniu uzgadniania negocjowany protokół jest używany bezpośrednio, bez dodatkowych podróży tam i z powrotem.
Cipher Suite (zestaw szyfrów)
Zestaw algorytmów szyfrowania negocjowany podczas uzgadniania TLS, składający się z algorytmu wymiany kluczy, algorytmu uwierzytelniania, algorytmu szyfrowania symetrycznego i algorytmu skrótu, taki jak TLS_AES_256_GCM_SHA384. Bezpieczne konfiguracje powinny preferencyjnie używać zestawów AEAD (takich jak GCM, ChaCha20-Poly1305).
Let's Encrypt
Darmowa, zautomatyzowana, otwarta instytucja certyfikująca (CA) zarządzana przez ISRG, uruchomiona w 2016 roku, wydała ponad 3 miliardy certyfikatów i znacznie obniżyła próg wdrożenia HTTPS. Certyfikaty są ważne 90 dni, automatycznie odnawiane za pomocą protokołu ACME.Strona Let's Encrypt
Odcisk palca certyfikatu (Fingerprint)
Wartość skrótu obliczona z treści kodowanej DER certyfikatu, zwykle SHA-1 i SHA-256. Odciski palców są używane do unikalnej identyfikacji certyfikatu, do Certificate Pinning i weryfikacji spójności między wieloma węzłami. SHA-1 nie jest zalecany do celów bezpieczeństwa z powodu ryzyka kolizji, ale nadal jest szeroko stosowany do identyfikacji.
SNI (Server Name Indication)
Rozszerzenie TLS, w którym klient już w fazie uzgadniania wysyła domenę do odwiedzenia, dzięki czemu serwer na tym samym adresie IP może wdrożyć wiele certyfikatów dla różnych domen (podobnie jak nagłówek Host w HTTP). SNI jest podstawą nowoczesnego wirtualnego hosta HTTPS, serwery bez konfiguracji SNI zwracają domyślny certyfikat, co może prowadzić do niezgodności domen.
Forward Secrecy (PFS)
Właściwość bezpieczeństwa: nawet jeśli klucz prywatny serwera wycieknie w przyszłości, wcześniej zarejestrowany zaszyfrowany ruch sesji nie będzie mógł zostać odszyfrowany. Osiągane jest to za pomocą algorytmów tymczasowej wymiany kluczy takich jak ECDHE, jest wymagane w TLS 1.3 i jest zalecanym standardem dla nowoczesnych konfiguracji bezpieczeństwa.

Historia i status wersji protokołu TLS

Wersja protokołuRok wydaniaAktualny statusUwagi
SSL 1.0-3.01995-1996❌ Przestarzałe/niebezpiecznePoważne luki bezpieczeństwa takie jak POODLE, wyłączone we wszystkich nowoczesnych przeglądarkach
TLS 1.01999❌ PrzestarzałeLuki bezpieczeństwa takie jak BEAST, CRIME, zabronione od PCI DSS 2018
TLS 1.12006❌ PrzestarzałeOficjalnie przestarzałe w RFC 8996, usunięte z Chrome/Firefox od 2020
TLS 1.22008⚠️ Szeroko obsługiwane (przejściowe)Najszerzej wdrożone obecnie, najlepsza kompatybilność, ale ryzyko niektórych słabych zestawów szyfrów
TLS 1.32018 (RFC 8446)✅ ZalecaneSzybsze uzgadnianie (1-RTT/0-RTT), usunięcie słabych algorytmów, pierwszy wybór dla nowoczesnych przeglądarek

Ostrzeżenia kolorystyczne o wygaśnięciu certyfikatu i zalecenia

Pozostałe dniKolor statusuZalecana akcja
>30 dni🟢 Zielony (normalny)Nie wymaga działań, wystarczy regularnie sprawdzać
7-30 dni🟡 Żółty (ostrzeżenie)Jak najszybciej rozpocznij proces odnawiania, upewnij się że wymiana zostanie zakończona przed wygaśnięciem
<7 dni🔴 Czerwony (pilne)Odnów natychmiast, po wygaśnięciu przeglądarki zablokują dostęp
0 dni/wygasły🔴 Czerwony (wygasły)Certyfikat jest nieważny, użytkownicy zobaczą ostrzeżenie bezpieczeństwa, należy natychmiast obsłużyć

Rozwiązywanie typowych błędów SSL

Typ błęduTypowa przyczynaKierunek rozwiązania
Certyfikat wygasł (expired)Certyfikat nie został odnowiony po dacie validToTerminowe odnowienie i wdrożenie nowego certyfikatu
Niezgodność domeny (name mismatch)Bieżąca domena nie znajduje się na liście SAN certyfikatuWydaj nowy certyfikat zawierający domenę docelową lub sprawdź konfigurację źródła CDN
Niekompletny łańcuch certyfikatów (incomplete chain)Serwer nie poprawnie skonfigurował certyfikatów pośrednichPołącz certyfikaty pośrednie z certyfikatem liściowym do wdrożenia
Certyfikat samopodpisany (self-signed)Certyfikat został podpisany przez prywatne CA, nie jest publicznie zaufanyUżyj certyfikatu wydanego przez publiczne CA takie jak Let's Encrypt
Niezaufany wystawca (untrusted issuer)Certyfikat główny CA nie znajduje się w magazynie zaufanych przeglądarkiZamień na certyfikat wydany przez zaufane CA

Authoritative References