ToolActToolAct

SSL 証明書チェックツール

ドメインのSSL/TLS証明書の有効性、有効期限、証明書チェーンの詳細をオンラインで確認

ドメイン名を入力し、「チェック」ボタンをクリックしてSSL証明書情報を確認

SSL証明書チェッカーとは?

SSL 証明書チェッカーは、Webサイトの TLS 証明書が有効か、要求されたドメインと一致しているか、証明書チェーンが正しいか、有効期限が近づいていないかを確認するツールです。HTTPS はブラウザーの鍵アイコンだけでなく、通信の暗号化、サーバー認証、ユーザー信頼、検索評価、決済、API 連携、自動クライアントにも影響します。運用、デプロイ、セキュリティ確認、障害調査で、有効期限、発行者、対象ドメイン、チェーン情報、プロトコルの状態を素早く確認できます。更新忘れ、中間証明書不足、サブドメイン未対応、誤った環境への証明書配置を見つける助けになります。

使い方

使い方

  1. 確認したいドメイン名を入力します(例:google.com)
  2. デフォルトのポートは443です。特別な設定がある場合は変更してください
  3. 「Check」ボタンをクリックするかEnterキーでチェックを開始します
  4. 証明書の有効性、有効期限、TLSプロトコルバージョンなどを確認します
  5. 証明書チェーンを展開すると、発行者、署名アルゴリズム、SANなど各証明書の詳細が表示されます

証明書に関するヒント

  • ユーザーがアクセスする正確なホスト名(サブドメインを含む)を確認してください。証明書はある名前では有効でも、別の名前では一致しない場合があります。
  • DNS、CDN、ロードバランサーの変更や証明書更新後にチェックを実行してください。同じドメインでも環境によって証明書チェーンが異なることがあります。

利用シーン

バックエンドから HTTPS 証明書の状態を確認ドメインとポートを入力すると、ネットワーク API 経由で署名付き SSL 証明書チェックを実行します。入力した host:port にのみ接続し、他のエンドポイントや関係のないホストにはアクセスしません。結果にはハンドシェイクの成否、プロトコル、暗号スイート、総合的な有効性、期限状態、期限までの日数、ドメイン一致が表示されます。
証明書チェーンを検査ハンドシェイクが成功すると、各証明書を展開してサブジェクト、発行者、シリアル番号、署名アルゴリズム、有効期間、SAN エントリ、自己署名や期限切れのバッジを確認できます。中間チェーンの不具合の診断、実際にリーフ証明書を発行した CA の特定、誤ってデプロイされた証明書の発見に役立ちます。
更新漏れとホスト名の問題を早期発見ステータスバナーは無効な証明書、期限切れ、間もなく期限切れ、ドメイン不一致をハイライト表示します。DNS 切り替え、CDN 移行、ロードバランサーの変更、定期的な証明書更新チェックの前に有用です。ブラウザ警告が表示される前に、期限カウントダウンを更新自動化のウィンドウ(Let's Encrypt 90日、商用1〜3年)と比較してください。
サブドメイン移行時の SAN カバレッジをクロスチェックハンドシェイク後、SAN リストには証明書が有効なすべてのホスト名が表示されます。新しいホストに DNS を切り替える前にサブドメイン台帳と比較してください。ワイルドカード証明書は内部ステージングホストや地域サブドメインをカバーしていない場合があり、マルチドメイン SAN は再発行時にエントリが欠落していることがあります。モダンブラウザはホスト名マッチングにレガシーの Subject CN フィールドを無視し、SAN 拡張のみに依存するため、CN が正しくても SAN が欠落している証明書は Chrome、Firefox、Safari でドメイン不一致エラーが発生します。
CA 移行後の中間チェーンを検証認証局を切り替えるか新しいオリジンに移行する場合、チェーン内の各証明書を展開して発行者、署名アルゴリズム(例:SHA-1 と SHA-256)、有効期間を確認してください。不完全な中間バンドルは Linux ではハンドシェイク失敗の一般的な原因ですが、macOS では発生しないため、ユーザーが使用するクライアントと同じカテゴリでバンドルを検証してください。チェーンは リーフ → 中間 → ルート の順序で並べる必要があり、ルートはクライアントの信頼ストアにバンドルされているため送信不要です。OCSP Stapling を有効にすると、TLS ハンドシェイクに最新の失効ステータスオブジェクトが添付され、クライアントが CA の OCSP レスポンダーに個別に問い合わせる必要がなくなります。

仕組み

SSL/TLS証明書はX.509標準に従います。各証明書には以下の主要フィールドが含まれます。Subject(所有者のドメインまたは組織)、Issuer(発行CA)、Validity(Not Before / Not Afterの日付)、Subject Public Key Info(公開鍵とアルゴリズム)、Signature Algorithm(SHA256-RSA や ECDSA-SHA256 など)、およびX509v3拡張(最も重要なのはSubject Alternative Name拡張)。TLSハンドシェイク中、サーバーは証明書チェーンをこの順序で送信します。リーフ証明書 → 中間証明書 → ルート証明書(ブラウザに組み込まれており送信不要)。クライアントはリーフから開始し、各レベルでIssuerが親のSubjectと一致することを検証し、親の公開鍵で子の署名を検証し、有効期間をチェックし、最終的に信頼されたルートまで遡ります。Let's Encryptが発行する証明書の有効期間はわずか90日で、certbotなどの自動更新ツールとの併用を前提としています。商用証明書の有効期間は通常1〜3年です。SNI(Server Name Indication)により、単一のIPアドレスで複数のHTTPSサイトをホストできます。クライアントはハンドシェイク中にSNI拡張を送信してターゲットホスト名を伝え、サーバーは一致する証明書を返します。OCSP(Online Certificate Status Protocol)により、証明書が失効していないかリアルタイムで確認でき、巨大なCRLリストのダウンロードを不要にします。

  • X.509証明書フィールド:Subject(所有者)、Issuer、Validity、公開鍵、署名アルゴリズム、SAN拡張
  • 証明書チェーン検証:リーフから開始し、Issuer → Subject の一致を各レベルで検証し、親の公開鍵で子の署名を検証し、最終的に信頼されたルートまで遡る
  • Let's Encrypt証明書のデフォルト有効期間は90日で、certbotなどのツールと組み合わせて自動更新。商用証明書の有効期間は通常1〜3年
  • SNI(Server Name Indication)により単一IPアドレスで複数のHTTPSサイトをホスト可能。クライアントはハンドシェイク中にターゲットホスト名を宣言し、一致する証明書を受信する
  • OCSPはリアルタイムの失効チェックに使用され、巨大なCRLのダウンロードを不要にする。主要CAはOCSP Staplingも展開している
  • 期限切れ証明書、弱い署名アルゴリズム(SHA-1)、不十分な鍵長(RSA 2048ビット未満)はすべてモダンブラウザのセキュリティ警告を引き起こす

使用例

GitHub の証明書を確認

github.com — 発行者 DigiCert TLS Hybrid ECC SHA384、残り 67 日、プロトコル TLS 1.3、SAN に github.com と *.github.com を含む

Google の証明書を確認

google.com — 発行者 WR2(Google Trust Services)、残り 84 日、SAN に *.google.com と google.com を含む

自分の証明書を確認

blog.example.com — 発行者 Let's Encrypt R10、残り 23 日(早めに更新を)、署名アルゴリズム ECDSA-SHA256

よくある質問

証明書チェックでは何が表示されますか?

証明書チェーン全体(リーフ、中間、ルート)、有効期限、発行 CA、Subject の Common Name と Subject Alternative Names、署名アルゴリズム、公開鍵の種類とサイズ、証明書のシリアル、信頼されたルートとチェーンが一致しているかどうかなどです。バックエンドが対象ホストのポート 443 に接続し、見えたチェーンを報告します。

443 以外のポートの証明書も確認できますか?

はい。host:port の形で指定してください(例: example.com:8443)。実装によっては IMAP(993)、SMTP(465/587)、POP3(995)など他の TLS ポートにも対応しています。プロトコルはページが対応する平文 TLS または STARTTLS である必要があります。

「あと N 日で期限切れ」とは何を意味しますか?

証明書の notAfter 日付のことです。この日付を過ぎると、最新のブラウザはそのサイトを読み込まなくなります。期限の少なくとも 30 日前に自動更新を設定してください。Let's Encrypt の証明書は 90 日間有効で、ほとんどの運用者は 60 日目に自動更新を行います。

ここでは有効に見えるのに、ブラウザで失敗するのはなぜ?

よくある原因として、チェーンの順序が誤っている(サーバーが中間証明書を誤った順で送信している)、中間証明書が欠落している(サーバーがリーフのみを送信している)、ルートがブラウザの信頼ストアにない(プライベート CA、未バンドルの政府 CA など)、SNI の不一致(サーバーがホスト名に対して誤った証明書を返す)などがあります。本ページではこれらを通常フラグで示します。

DV、OV、EV 証明書の違いは?

ドメイン検証(DV)はドメインの管理権限のみを検証します。組織検証(OV)は会社の存在を検証します。拡張検証(EV)はより厳密なビジネスチェックを行います。最新のブラウザではこれら3種類はすべて同様に表示されます(鍵マークのみ)。EV は2019年以降、ほとんどのブラウザでアドレスバーが緑色になることはなくなりました。

自己署名証明書やプライベート CA の証明書も確認できますか?

はい。本ページは証明書を表示しますが、CA がパブリックなルートストアに存在しないため「信頼されていない」と表示します。社内や検証用の証明書を確認するのに便利です。

対象ホストのデータが露出することはありますか?

本チェックはバックエンドからホストのポート 443 へ接続するもので、通常の TLS クライアントと変わりません。ホスト側にはその接続が記録されます。外部スキャンを禁止しているホストに対しては実行しないでください。