logo
GeekFormat

Проверка SSL-сертификатов

Sonda sertilikata

Nachin TLS handshake napravo s servera, prochitat sertifiknya, soglashivat protokol i ostavshyesya srok deystviya.

Проверяйте SSL/TLS-сертификаты онлайн. Введите домен, чтобы увидеть действительность сертификата, соответствие домена, оставшиеся дни, версию TLS, наборы шифров и список SAN. Handshake инициируется из бэкенда без проблем с CORS.

Похожие

Варианты использования

  • Быстро проверить, работает ли HTTPS нормально перед запуском веб-сайта или после обновления сертификата
  • Оповещения об истечении сертификата: Периодически проверять оставшиеся дни, чтобы избежать прерывания доступа из-за неожиданного истечения
  • Устранение HTTPS-ошибок браузера: Определить, является ли это истечением, несоответствием домена или проблемой цепочки сертификатов
  • Проверить, правильно ли загружены сертификаты граничных узлов после развертывания CDN/обратного прокси
  • Проверить, соответствуют ли версии протокола TLS и наборы шифров требованиям безопасности и соответствия
  • Проверить, охватывает ли список SAN все целевые домены после развертывания мультидоменных сертификатов

Функции

  • Бэкенд TLS-handshake: Инициирует TLS-соединение напрямую с сервера, без ограничений CORS браузера, может проверять любой общедоступный домен
  • Мгновенное определение статуса авторизации: Действительность сертификата, соответствие домена, информация об ошибках авторизации с первого взгляда
  • Цветовые оповещения об оставшихся днях: >30 дней зеленый, 7-30 дней желтый, <7 дней красный для быстрого определения момента обновления
  • Обзор основной конфигурации: Версия протокола TLS, набор шифров (Cipher), результаты согласования протокола ALPN непосредственно видны
  • Полное отображение списка SAN: Все альтернативные имена субъекта перечислены в виде тегов, при количестве более 8 можно развернуть, чтобы увидеть все
  • Копирование двойных отпечатков в один клик: Отпечатки SHA-1 и SHA-256 отображаются отдельно с поддержкой копирования в один клик
  • Полный экспорт JSON: Можно развернуть для просмотра полной JSON-структуры сертификата, поддерживает копирование в один клик для глубокого устранения неполадок и архивирования

Как использовать

  1. Введите домен для проверки (например geekformat.com, без префикса https://)
  2. Нажмите кнопку «Проверить сертификат» и подождите 1-3 секунды для получения результатов TLS-handshake
  3. Сначала проверьте статус авторизации (зеленый действительный/красный недействительный) и цвет оставшихся дней
  4. Проверьте, соответствуют ли версия TLS, Cipher и согласование ALPN ожиданиям
  5. Просмотрите Subject/Issuer, срок действия, список SAN, чтобы подтвердить правильность информации о сертификате
  6. Для глубокого устранения неполадок разверните сведения JSON, чтобы просмотреть полную структуру сертификата, и скопируйте для архивирования

Часто задаваемые вопросы

Зачем нужно проверять SSL-сертификаты?

Истечение сертификатов, несоответствие доменов и ошибки конфигурации являются наиболее распространенными типами сбоев для HTTPS-сайтов. После истечения браузеры отображают предупреждение «Не защищено», что приводит к потере посетителей, а также влияет на рейтинг в поиске Google. Регулярная проверка и раннее обновление — базовые задачи DevOps для обеспечения нормальной работы HTTPS.

В чем разница между этим инструментом проверки и SSL Labs?

SSL Labs выполняет глубокое оценивание (включая комплексное тестирование протоколов, наборов шифров, уязвимостей, занимает около 2 минут), а этот инструмент выполняет быстрые базовые проверки (возвращает результаты за 1-3 секунды), охватывая основную информацию, такую как действительность сертификата, срок действия, версия TLS, наборы шифров и список SAN, подходит для быстрой валидации перед запуском, подтверждения обновления и устранения неполадок.

Почему браузеры могут получить доступ напрямую, но этот инструмент не может выполнить проверку?

Возможные причины: 1) Веб-сайт блокирует зарубежные IP (серверы проверки находятся за рубежом); 2) Сервер выполняет разделение SNI, но конфигурация неполная; 3) Используется самоподписанный сертификат корпоративной интрасети; 4) Брандмауэр блокирует узлы проверки. Сбой проверки не означает, что сертификат имеет проблемы; необходимо судить на основе конкретных сообщений об ошибках.

В чем разница между TLS 1.2 и TLS 1.3?

TLS 1.3 (2018, RFC 8446) — последняя версия, со скоростью handshake, улучшенной с 2-RTT в TLS 1.2 до 1-RTT или даже 0-RTT, удалены небезопасные алгоритмы, такие как обмен ключами RSA, RC4 и SHA-1, Forward Secrecy включен по умолчанию, со значительными улучшениями как в безопасности, так и в производительности. Для новых развертываний рекомендуется приоритетизировать поддержку TLS 1.3, сохраняя TLS 1.2 для совместимости со старыми клиентами.

За сколько дней до истечения сертификата следует обновлять?

Рекомендуется начинать подготовку к обновлению за 30 дней до истечения и завершить развертывание как минимум за 7 дней до этого. Инструмент использует цветовые оповещения: >30 дней зеленый (нормально), 7-30 дней желтый (следует обновить), <7 дней красный (срочно). Сертификаты Let's Encrypt имеют срок действия 90 дней; рекомендуется настроить автоматическое обновление.

Let's Encrypt

Что такое список SAN и почему он важен?

SAN (Subject Alternative Name, альтернативное имя субъекта) — это список доменов/IP, разрешенных для использования в сертификате. Современные браузеры (Chrome 58+) больше не доверяют полю Common Name (CN) и проверяют только SAN. Если домен доступа отсутствует в списке SAN, браузеры сообщат об ошибке «несоответствие имени». Один сертификат может охватывать несколько доменов через SAN (например example.com, www.example.com, api.example.com).

Зачем просматривать отпечатки сертификатов?

Отпечатки сертификатов (SHA-1/SHA-256) — это хэш-значения содержимого сертификата, которые можно использовать для HPKP (устарело), закрепления сертификатов (Certificate Pinning) и ручной проверки того, что развернутые сертификаты соответствуют ожидаемым — например, подтвердить, правильно ли CDN загрузил новые сертификаты, или проверить идентичность сертификатов на нескольких серверах. Примечание: Отпечатки SHA-1 предназначены только для идентификации и не должны использоваться для проверки безопасности.

Что такое проверка SSL/TLS-сертификатов?

Проверка SSL/TLS-сертификатов — это процесс инициирования TLS-handshake от клиента для получения и анализа информации о сертификате, возвращаемой целевым сервером, и тем самым определения правильности конфигурации HTTPS. Основные элементы проверки включают: находится ли сертификат в пределах срока действия, находится ли домен доступа в списке разрешенных сертификата (соответствие SAN), является ли цепочка сертификатов полной и доверенной, безопасны ли используемая версия протокола TLS и наборы шифров и т.д.

**Почему проверка сертификатов так важна?** SSL-сертификаты — это основа доверия HTTPS. Как только возникают проблемы с сертификатом (наиболее распространенное — истечение), браузеры напрямую блокируют доступ, отображая красную страницу предупреждения «Ваше подключение не защищено», нанося прямой ущерб трафику веб-сайта, коэффициентам конверсии, SEO-рейтингу и доверию к бренду. По данным мониторинга, истечение сертификатов является наиболее распространенной причиной сбоев HTTPS, составляя более 40% всех инцидентов HTTPS.

**Чем это отличается от прямого доступа в браузере?** Доступ через браузер может иметь отклонения из-за кэша, HSTS, корпоративных прокси, клиентских сертификатов и т.д.; в то время как инструменты проверки сертификатов инициируют стандартные TLS-handshake из независимых узлов, возвращая объективную, стандартизированную информацию о сертификате, подходящую для сценариев валидации DevOps. Этот инструмент инициирует TLS-handshake напрямую из бэкенд-серверов, **без ограничений CORS браузера**, и может проверять любой общедоступный HTTPS-домен.

**Основная информация, проверяемая этим инструментом**: Статус авторизации сертификата (действителен или нет), конкретные сообщения об ошибках authorizationError, версия протокола TLS (TLS 1.2/1.3), согласованный набор шифров (Cipher), результаты согласования протокола ALPN (h2/http/1.1), издатель сертификата (Subject/Issuer), даты начала и окончания срока действия (validFrom/validTo), оставшиеся дни (с цветовыми оповещениями), список альтернативных имен субъекта SAN, отпечатки SHA-1/SHA-256, время ответа и полные сведения JSON.

Результаты проверки обычно возвращаются за 1-3 секунды, подходят для таких сценариев, как быстрая валидация перед запуском, подтверждение обновления и устранение неполадок. Для глубокого оценивания (например, рейтинг A+-F от SSL Labs, включая пересогласование, тестирование уязвимостей, поддержку протоколов и т.д.) рекомендуется использовать вместе с SSL Labs Server Test.

术语表

SSL/TLS
SSL (Secure Sockets Layer) — протокол шифрования, разработанный Netscape в 1990-х годах, позже стандартизированный IETF и переименованный в TLS (Transport Layer Security). SSL 3.0 и более ранние версии все устарели; в настоящее время на практике используются TLS 1.2 и TLS 1.3, но по привычке все еще часто называют «SSL-сертификат».
HTTPS
HTTP поверх TLS, добавляет уровень шифрования TLS между HTTP и TCP для обеспечения шифрования данных, аутентификации сервера и защиты целостности контента. Поиск Google придает вес ранжирования HTTPS-сайтам, а Chrome помечает не-HTTPS-сайты как «Не защищено».
SAN (Subject Alternative Name)
Поле расширения сертификата X.509, в котором перечислены все доменные имена и IP-адреса, разрешенные для этого сертификата. Современные браузеры (Chrome 58+) проверяют только SAN и больше не смотрят на Common Name (CN). Один сертификат SAN может защищать несколько доменов одновременно.
Цепочка сертификатов (Certificate Chain)
Цепочка доверия от листового сертификата (серверного сертификата) к промежуточному CA-сертификату, а затем к корневому CA-сертификату. Сервер должен отправлять листовой сертификат + промежуточный сертификат; браузеры проверяют целостность цепочки через предустановленные корневые сертификаты. Отсутствие промежуточных сертификатов — распространенная ошибка конфигурации.
ALPN (Application-Layer Protocol Negotiation)
Расширение TLS, позволяющее согласовывать протоколы прикладного уровня во время TLS-handshake (например h2 для HTTP/2, http/1.1 для HTTP/1.1, h3 для HTTP/3). После завершения handshake согласованный протокол используется напрямую без дополнительных циклов обмена.
Cipher Suite(набор шифров)
Набор комбинаций алгоритмов шифрования, согласовываемых во время TLS-handshake, включая алгоритм обмена ключами, алгоритм аутентификации, алгоритм симметричного шифрования и алгоритм хэширования, например TLS_AES_256_GCM_SHA384. Безопасные конфигурации должны приоритетизировать наборы AEAD (например GCM, ChaCha20-Poly1305).
Let's Encrypt
Бесплатный, автоматизированный и открытый центр сертификации (CA), управляемый ISRG, официально запущенный в 2016 году, выдал более 3 миллиардов сертификатов, значительно снизив барьеры для развертывания HTTPS. Сертификаты имеют срок действия 90 дней с автоматическим обновлением через протокол ACME.Официальный сайт Let's Encrypt
Отпечаток (Fingerprint)
Хэш-значение, вычисленное из DER-кодированного содержимого сертификата, обычно SHA-1 и SHA-256. Отпечатки уникально идентифицируют сертификат, могут использоваться для закрепления сертификатов и проверки согласованности между узлами. SHA-1 больше не рекомендуется для целей безопасности из-за рисков коллизий, но остается широко используемым для идентификации.
SNI (Server Name Indication)
Расширение TLS, при котором клиент отправляет целевое доменное имя во время handshake, позволяя серверам на одном IP разворачивать несколько сертификатов для разных доменов (аналогично заголовку Host в HTTP). SNI является основой современного виртуального хостинга HTTPS; серверы без настроенного SNI возвращают сертификат по умолчанию, что может вызвать ошибки несоответствия имени.
Прямая секретность (Forward Secrecy / PFS)
Свойство безопасности: даже если закрытый ключ сервера будет скомпрометирован позже, ранее записанный зашифрованный трафик сессии не может быть расшифрован. Реализуется через эфемерные алгоритмы обмена ключами, такие как ECDHE, является обязательным для TLS 1.3 и рекомендуемым стандартом для современных конфигураций безопасности.

История и текущий статус версий протокола TLS

Версия протоколаГод выпускаТекущий статусПримечания
SSL 1.0-3.01995-1996❌ Устаревший/небезопасныйСодержит критические уязвимости, такие как POODLE; отключен всеми современными браузерами
TLS 1.01999❌ УстаревшийУязвимости BEAST, CRIME; запрещен с PCI DSS 2018
TLS 1.12006❌ УстаревшийОфициально устарел в RFC 8996; Chrome/Firefox удалили поддержку в 2020
TLS 1.22008⚠️ Широко поддерживается (переходный)В настоящее время наиболее широко развернут с лучшей совместимостью, но имеет риски некоторых слабых наборов шифров
TLS 1.32018 (RFC 8446)✅ РекомендуетсяБолее быстрый handshake (1-RTT/0-RTT), удалены слабые алгоритмы, предпочитается современными браузерами

Цветовые оповещения об истечении сертификата и рекомендации

Оставшиеся дниЦвет статусаРекомендуемое действие
>30 дней🟢 Зеленый (нормально)Действий не требуется; проверяйте периодически
7-30 дней🟡 Желтый (предупреждение)Как можно скорее начать процесс обновления, чтобы обеспечить замену до истечения
<7 дней🔴 Красный (срочно)Немедленно обновить; браузеры заблокируют доступ после истечения
0 дней/истек🔴 Красный (истек)Сертификат недействителен; пользователи увидят предупреждения безопасности, требуется немедленное решение

Устранение распространенных типов ошибок SSL

Тип ошибкиРаспространенные причиныНаправление решения
Сертификат истек (expired)Сертификат не был обновлен после даты validToСвоевременно обновить и развернуть новый сертификат
Несоответствие имени (name mismatch)Текущий домен доступа отсутствует в списке SAN сертификатаПеревыпустить сертификат, включая целевой домен, или проверить конфигурацию источника CDN
Неполная цепочка (incomplete chain)Сервер неправильно настроил промежуточные сертификатыРазвернуть промежуточный сертификат в сочетании с листовым сертификатом
Самоподписанный сертификат (self-signed)Сертификат выдан частным CA, не является общедоступным довереннымИспользовать общедоступный доверенный CA, такой как Let's Encrypt, для выдачи сертификата
Недоверенный издатель (untrusted issuer)Корневой сертификат CA отсутствует в хранилище доверия браузераЗаменить сертификатом, выданным доверенным CA

Authoritative References