Vérificateur de Certificat SSL
Vérifiez la validité du certificat SSL/TLS, la date d'expiration et les détails de la chaîne de certificats en ligne
Entrez un nom de domaine et cliquez sur "Vérifier" pour voir les informations du certificat SSL
Qu'est-ce que le Vérificateur de Certificat SSL ?
Le vérificateur de certificat SSL analyse si le certificat TLS d’un site est valide, correspond au domaine demandé, possède une chaîne correcte et n’approche pas de son expiration. HTTPS n’est pas seulement un cadenas dans le navigateur: il influence le transport chiffré, l’identité du serveur, la confiance des utilisateurs, le référencement, les paiements, les intégrations API et les clients automatisés. L’outil aide l’exploitation, les déploiements, les audits de sécurité et le diagnostic d’incident en exposant dates, émetteur, noms couverts, chaîne de certificats et indices de protocole. Les erreurs fréquentes sont le renouvellement oublié, les certificats intermédiaires manquants, les sous-domaines non couverts ou une installation sur le mauvais environnement.
Mode d'emploi
Mode d'emploi
- Saisissez le nom de domaine à vérifier (ex. google.com).
- Le port par défaut est 443. Modifiez-le si une configuration particulière l'exige.
- Cliquez sur le bouton « Vérifier » ou appuyez sur Entrée pour lancer la vérification.
- Consultez la validité du certificat, sa date d'expiration, la version du protocole TLS, etc.
- Dépliez la chaîne de certificats pour afficher les détails de chaque certificat : émetteur, algorithme de signature, SAN, etc.
Conseils sur les certificats
- Vérifiez le nom d'hôte exact saisi par les utilisateurs, y compris les sous-domaines : un certificat peut être valide pour un nom et inadapté pour un autre.
- Relancez la vérification après toute modification du DNS, du CDN, du load balancer ou du certificat ; la chaîne peut différer d'un environnement à l'autre, même pour un même domaine.
Cas d’utilisation
Principe technique
Les certificats SSL/TLS suivent le standard X.509. Chaque certificat contient ces champs clés : Subject (le domaine ou l'organisation du détenteur), Issuer (l'autorité de certification émettrice), Validity (dates Not Before / Not After), Subject Public Key Info (clé publique et algorithme), Signature Algorithm (tel que SHA256-RSA ou ECDSA-SHA256), et les extensions X509v3 (dont la plus importante est l'extension Subject Alternative Name). Lors du handshake TLS, le serveur envoie sa chaîne dans l'ordre : certificat feuille -> certificat(s) intermédiaire(s) -> certificat racine (qui est intégré dans le navigateur et n'a pas besoin d'être envoyé). Le client part de la feuille, vérifie à chaque niveau que l'Issuer correspond au Subject du parent, utilise la clé publique du parent pour vérifier la signature de l'enfant, contrôle la fenêtre de validité et remonte finalement jusqu'à une racine de confiance. Let's Encrypt délivre des certificats valides pour seulement 90 jours, conçus pour être utilisés avec des outils d'automatisation tels que certbot ; les certificats commerciaux durent généralement de 1 à 3 ans. SNI (Server Name Indication) permet à une seule IP d'héberger plusieurs sites HTTPS : le client envoie d'abord l'extension SNI pendant le handshake pour indiquer au serveur le nom d'hôte cible, et le serveur renvoie le certificat correspondant. OCSP (Online Certificate Status Protocol) permet des requêtes en temps réel pour savoir si un certificat a été révoqué, évitant ainsi de télécharger de volumineuses listes CRL.
- Champs du certificat X.509 : Subject (détenteur), Issuer, Validity, clé publique, algorithme de signature et l'extension SAN
- Validation de la chaîne de certificats : part de la feuille, vérifie la correspondance Issuer -> Subject niveau par niveau, vérifie la signature de l'enfant avec la clé publique du parent et remonte finalement jusqu'à une racine de confiance
- Les certificats Let's Encrypt ont une validité par défaut de 90 jours, associés à certbot et outils similaires pour le renouvellement automatique ; les certificats commerciaux durent généralement de 1 à 3 ans
- SNI (Server Name Indication) permet à une seule IP d'héberger plusieurs sites HTTPS ; le client déclare le nom d'hôte cible pendant le handshake et reçoit le certificat correspondant
- OCSP est utilisé pour les vérifications de révocation en temps réel, évitant le téléchargement de volumineuses CRL ; les principales autorités de certification déploient également l'agrafage OCSP
- Les certificats expirés, les algorithmes de signature faibles (SHA-1) et une longueur de clé insuffisante (RSA inférieur à 2048 bits) déclenchent tous des avertissements de sécurité dans les navigateurs modernes
Exemples
Vérifier le certificat de GitHub
github.com — émetteur DigiCert TLS Hybrid ECC SHA384, 67 jours restants, protocole TLS 1.3, SAN inclut github.com et *.github.comVérifier le certificat de Google
google.com — émetteur WR2 (Google Trust Services), 84 jours restants, SAN inclut *.google.com et google.comVérifier votre propre certificat
blog.example.com — émetteur Let's Encrypt R10, 23 jours restants (à renouveler bientôt), algorithme de signature ECDSA-SHA256FAQ
Que montre la vérification du certificat ?
La chaîne complète (feuille, intermédiaires, racine), les dates de validité, l'autorité émettrice, le Common Name du sujet et les Subject Alternative Names, l'algorithme de signature, le type/la taille de la clé publique, le numéro de série, et si la chaîne correspond à une racine de confiance. Notre backend se connecte à l'hôte sur le port 443 et signale la chaîne qu'il observe.
Puis-je vérifier des certificats sur des ports autres que 443 ?
Oui : précisez hôte:port (par exemple example.com:8443). Certaines versions vérifient aussi IMAP (993), SMTP (465/587), POP3 (995) et d'autres ports TLS. Le protocole doit utiliser du TLS classique ou un STARTTLS pris en charge par la page.
Que signifie « expire dans N jours » ?
C'est la date notAfter du certificat. Passé cette date, les navigateurs modernes refusent de charger le site. Configurez le renouvellement automatique au moins 30 jours avant l'expiration. Les certificats Let's Encrypt durent 90 jours : la plupart des opérateurs renouvellent automatiquement à 60 jours.
Pourquoi mon certificat semble valide ici mais échoue dans les navigateurs ?
Causes courantes : ordre de chaîne incorrect (le serveur envoie les intermédiaires dans le mauvais ordre) ; intermédiaire manquant (le serveur n'envoie que la feuille) ; racine absente du magasin de confiance du navigateur (CA privée, CA gouvernementale non incluse) ; non-correspondance SNI (le serveur retourne le mauvais certificat pour votre nom d'hôte). La page signale généralement chacun de ces cas.
Quelle est la différence entre les certificats DV, OV et EV ?
Domain Validation (DV) : seul le contrôle du domaine est vérifié. Organization Validation (OV) : l'existence de l'entreprise est vérifiée. Extended Validation (EV) : un contrôle commercial plus poussé. Les navigateurs modernes les affichent tous de la même façon (juste un cadenas) ; depuis 2019, l'EV ne déclenche plus de barre d'adresse verte dans la plupart des navigateurs.
Puis-je vérifier un certificat auto-signé ou émis par une CA privée ?
Oui. La page affiche le certificat mais le marque comme « non fiable » car la CA n'est pas dans le magasin racine public. Utile pour inspecter vos propres certificats internes ou de test.
Les données de l'hôte sont-elles exposées ?
La vérification se connecte depuis notre backend à l'hôte sur le port 443, comme n'importe quel client TLS. L'hôte journalise cette connexion. Ne lancez pas cet outil contre des hôtes qui interdisent les scans externes.