SSL 証明書チェックツール
ドメインのSSL/TLS証明書の有効性、有効期限、証明書チェーンの詳細をオンラインで確認
ドメイン名を入力し、「チェック」ボタンをクリックしてSSL証明書情報を確認
SSL証明書チェッカーとは?
SSL 証明書チェッカーは、Webサイトの TLS 証明書が有効か、要求されたドメインと一致しているか、証明書チェーンが正しいか、有効期限が近づいていないかを確認するツールです。HTTPS はブラウザーの鍵アイコンだけでなく、通信の暗号化、サーバー認証、ユーザー信頼、検索評価、決済、API 連携、自動クライアントにも影響します。運用、デプロイ、セキュリティ確認、障害調査で、有効期限、発行者、対象ドメイン、チェーン情報、プロトコルの状態を素早く確認できます。更新忘れ、中間証明書不足、サブドメイン未対応、誤った環境への証明書配置を見つける助けになります。
使い方
使い方
- 確認したいドメイン名を入力します(例:google.com)
- デフォルトのポートは443です。特別な設定がある場合は変更してください
- 「Check」ボタンをクリックするかEnterキーでチェックを開始します
- 証明書の有効性、有効期限、TLSプロトコルバージョンなどを確認します
- 証明書チェーンを展開すると、発行者、署名アルゴリズム、SANなど各証明書の詳細が表示されます
証明書に関するヒント
- ユーザーがアクセスする正確なホスト名(サブドメインを含む)を確認してください。証明書はある名前では有効でも、別の名前では一致しない場合があります。
- DNS、CDN、ロードバランサーの変更や証明書更新後にチェックを実行してください。同じドメインでも環境によって証明書チェーンが異なることがあります。
利用シーン
仕組み
SSL/TLS証明書はX.509標準に従います。各証明書には以下の主要フィールドが含まれます。Subject(所有者のドメインまたは組織)、Issuer(発行CA)、Validity(Not Before / Not Afterの日付)、Subject Public Key Info(公開鍵とアルゴリズム)、Signature Algorithm(SHA256-RSA や ECDSA-SHA256 など)、およびX509v3拡張(最も重要なのはSubject Alternative Name拡張)。TLSハンドシェイク中、サーバーは証明書チェーンをこの順序で送信します。リーフ証明書 → 中間証明書 → ルート証明書(ブラウザに組み込まれており送信不要)。クライアントはリーフから開始し、各レベルでIssuerが親のSubjectと一致することを検証し、親の公開鍵で子の署名を検証し、有効期間をチェックし、最終的に信頼されたルートまで遡ります。Let's Encryptが発行する証明書の有効期間はわずか90日で、certbotなどの自動更新ツールとの併用を前提としています。商用証明書の有効期間は通常1〜3年です。SNI(Server Name Indication)により、単一のIPアドレスで複数のHTTPSサイトをホストできます。クライアントはハンドシェイク中にSNI拡張を送信してターゲットホスト名を伝え、サーバーは一致する証明書を返します。OCSP(Online Certificate Status Protocol)により、証明書が失効していないかリアルタイムで確認でき、巨大なCRLリストのダウンロードを不要にします。
- X.509証明書フィールド:Subject(所有者)、Issuer、Validity、公開鍵、署名アルゴリズム、SAN拡張
- 証明書チェーン検証:リーフから開始し、Issuer → Subject の一致を各レベルで検証し、親の公開鍵で子の署名を検証し、最終的に信頼されたルートまで遡る
- Let's Encrypt証明書のデフォルト有効期間は90日で、certbotなどのツールと組み合わせて自動更新。商用証明書の有効期間は通常1〜3年
- SNI(Server Name Indication)により単一IPアドレスで複数のHTTPSサイトをホスト可能。クライアントはハンドシェイク中にターゲットホスト名を宣言し、一致する証明書を受信する
- OCSPはリアルタイムの失効チェックに使用され、巨大なCRLのダウンロードを不要にする。主要CAはOCSP Staplingも展開している
- 期限切れ証明書、弱い署名アルゴリズム(SHA-1)、不十分な鍵長(RSA 2048ビット未満)はすべてモダンブラウザのセキュリティ警告を引き起こす
使用例
GitHub の証明書を確認
github.com — 発行者 DigiCert TLS Hybrid ECC SHA384、残り 67 日、プロトコル TLS 1.3、SAN に github.com と *.github.com を含むGoogle の証明書を確認
google.com — 発行者 WR2(Google Trust Services)、残り 84 日、SAN に *.google.com と google.com を含む自分の証明書を確認
blog.example.com — 発行者 Let's Encrypt R10、残り 23 日(早めに更新を)、署名アルゴリズム ECDSA-SHA256よくある質問
証明書チェックでは何が表示されますか?
証明書チェーン全体(リーフ、中間、ルート)、有効期限、発行 CA、Subject の Common Name と Subject Alternative Names、署名アルゴリズム、公開鍵の種類とサイズ、証明書のシリアル、信頼されたルートとチェーンが一致しているかどうかなどです。バックエンドが対象ホストのポート 443 に接続し、見えたチェーンを報告します。
443 以外のポートの証明書も確認できますか?
はい。host:port の形で指定してください(例: example.com:8443)。実装によっては IMAP(993)、SMTP(465/587)、POP3(995)など他の TLS ポートにも対応しています。プロトコルはページが対応する平文 TLS または STARTTLS である必要があります。
「あと N 日で期限切れ」とは何を意味しますか?
証明書の notAfter 日付のことです。この日付を過ぎると、最新のブラウザはそのサイトを読み込まなくなります。期限の少なくとも 30 日前に自動更新を設定してください。Let's Encrypt の証明書は 90 日間有効で、ほとんどの運用者は 60 日目に自動更新を行います。
ここでは有効に見えるのに、ブラウザで失敗するのはなぜ?
よくある原因として、チェーンの順序が誤っている(サーバーが中間証明書を誤った順で送信している)、中間証明書が欠落している(サーバーがリーフのみを送信している)、ルートがブラウザの信頼ストアにない(プライベート CA、未バンドルの政府 CA など)、SNI の不一致(サーバーがホスト名に対して誤った証明書を返す)などがあります。本ページではこれらを通常フラグで示します。
DV、OV、EV 証明書の違いは?
ドメイン検証(DV)はドメインの管理権限のみを検証します。組織検証(OV)は会社の存在を検証します。拡張検証(EV)はより厳密なビジネスチェックを行います。最新のブラウザではこれら3種類はすべて同様に表示されます(鍵マークのみ)。EV は2019年以降、ほとんどのブラウザでアドレスバーが緑色になることはなくなりました。
自己署名証明書やプライベート CA の証明書も確認できますか?
はい。本ページは証明書を表示しますが、CA がパブリックなルートストアに存在しないため「信頼されていない」と表示します。社内や検証用の証明書を確認するのに便利です。
対象ホストのデータが露出することはありますか?
本チェックはバックエンドからホストのポート 443 へ接続するもので、通常の TLS クライアントと変わりません。ホスト側にはその接続が記録されます。外部スキャンを禁止しているホストに対しては実行しないでください。