ToolActToolAct

Проверка SSL-сертификата

Проверьте действительность SSL/TLS-сертификата, срок действия и цепочку сертификатов онлайн

Введите имя домена и нажмите "Проверить" для просмотра информации об SSL-сертификате

Что такое проверка SSL-сертификата?

Проверка SSL-сертификата показывает, действителен ли TLS-сертификат сайта, соответствует ли он запрошенному домену, правильно ли собрана цепочка и не близок ли срок окончания. HTTPS — это не только значок замка в браузере: он влияет на шифрование транспорта, подтверждение сервера, доверие пользователей, поисковую видимость, платежи, API-интеграции и автоматических клиентов. Инструмент полезен для эксплуатации, релизов, аудитов безопасности и разбора инцидентов, потому что показывает даты, издателя, имена доменов, детали цепочки и сигналы протокола. Частые проблемы — забытое продление, отсутствующий intermediate, неохваченный поддомен или сертификат на неправильном окружении. Security-related результат нельзя оценивать отдельно: важны ключи, контекст, выбор алгоритма и доверенный источник.

Как использовать

Как использовать

  1. Введите имя домена для проверки (например, google.com)
  2. Порт по умолчанию — 443. При необходимости измените его
  3. Нажмите кнопку «Проверить» или Enter, чтобы запустить проверку
  4. Просмотрите срок действия сертификата, дату истечения, версию протокола TLS и другую информацию
  5. Разверните цепочку сертификатов, чтобы увидеть подробности по каждому: издатель, алгоритм подписи, SAN и т. д.

Рекомендации по сертификатам

  • Проверяйте точное имя хоста, включая поддомены: сертификат может быть действителен для одного имени и не совпадать с другим.
  • Проверяйте цепочку после изменений DNS, CDN, балансировщика или обновления сертификата — она может отличаться в разных средах, даже для одного домена.

Применение

Проверка состояния HTTPS-сертификата со стороны сервераВведите домен и порт для запуска проверки SSL-сертификата через сетевой API. Контактируется только указанный host:port, другие конечные точки или посторонние хосты не затрагиваются. Результат включает успешность рукопожатия, протокол, набор шифров, общую валидность, состояние истечения, дни до окончания и совпадение домена.
Проверка цепочки сертификатовПри успешном рукопожатии разверните каждый сертификат для просмотра subject, issuer, серийного номера, алгоритма подписи, дат действия, записей SAN и меток самоподписанного или истёкшего. Это полезно для диагностики разорванных промежуточных цепочек, определения, какой CA реально выпустил leaf-сертификат, и обнаружения ошибочно развёрнутого сертификата.
Раннее обнаружение проблем с продлением и именами хостовБаннер статуса выделяет недействительные сертификаты, истёкшие, скоро истекающие и несовпадающие домены. Это полезно перед переключением DNS, миграцией CDN, изменениями балансировщика и плановой проверкой продления. Сравните обратный отсчёт истечения с окном автоматического продления (Let's Encrypt 90 дней, коммерческие 1–3 года) до появления предупреждения браузера.
Перекрёстная проверка покрытия SAN при миграции поддоменовПосле рукопожатия список SAN показывает все имена хостов, для которых сертификат действителен. Сверьте его с инвентарём поддоменов перед переключением DNS на новый хост, так как wildcard-сертификат может не покрывать внутренние staging-хосты или региональные поддомены, а мультидоменный SAN мог потерять запись при перевыпуске. Современные браузеры игнорируют устаревшее поле Subject CN для сопоставления имён хостов и полагаются только на расширение SAN, поэтому сертификат с правильным CN, но отсутствующим SAN всё равно вызовет ошибку несовпадения домена в Chrome, Firefox и Safari, хотя старые чекеры могут показать его как действительный.
Проверка промежуточной цепочки после миграции CAПри смене центра сертификации или переходе на новый origin разверните каждый сертификат в цепочке для проверки издателя, алгоритма подписи (SHA-1 или SHA-256) и дат действия. Неполный набор промежуточных сертификатов — частая причина отказа рукопожатия на Linux, но не на macOS, поэтому проверяйте пакет на том же классе клиентов, что и ваши пользователи. Цепочка должна быть упорядочена leaf -> промежуточные -> root, а корневые сертификаты не нужно передавать по сети, так как они встроены в доверенное хранилище клиента; OCSP stapling при включении прикрепляет свежий объект статуса отзыва к TLS-хэндшейку, чтобы клиенту не приходилось самостоятельно обращаться к OCSP-responders CA.

Технический принцип

Сертификаты SSL/TLS соответствуют стандарту X.509. Каждый сертификат содержит следующие ключевые поля: Subject (домен или организация владельца), Issuer (выдавший центр сертификации), Validity (даты Not Before / Not After), Subject Public Key Info (открытый ключ и алгоритм), Signature Algorithm (например, SHA256-RSA или ECDSA-SHA256) и расширения X509v3 (среди которых наиболее важным является расширение Subject Alternative Name). Во время TLS-рукопожатия сервер отправляет свою цепочку в порядке: листовой сертификат -> промежуточный(е) сертификат(ы) -> корневой сертификат (который встроен в браузер и не нуждается в отправке). Клиент начинает с листового сертификата, на каждом уровне проверяет, что Issuer совпадает с Subject родительского сертификата, использует открытый ключ родителя для проверки подписи дочернего сертификата, проверяет окно действия и в конечном итоге прослеживает цепочку до доверенного корня. Let's Encrypt выдаёт сертификаты сроком действия всего 90 дней, предназначенные для использования с автоматизацией, такой как certbot; коммерческие сертификаты обычно действуют от 1 до 3 лет. SNI (Server Name Indication) позволяет одному IP-адресу размещать несколько HTTPS-сайтов: клиент сначала отправляет расширение SNI во время рукопожатия, сообщая серверу целевое имя хоста, а сервер возвращает соответствующий сертификат. OCSP (Online Certificate Status Protocol) позволяет запрашивать в реальном времени, был ли сертификат отозван, избегая необходимости загружать громоздкие списки CRL.

  • Поля сертификата X.509: Subject (владелец), Issuer, Validity, Public Key, Signature Algorithm и расширение SAN
  • Проверка цепочки сертификатов: начинается с листового сертификата, проверяет совпадение Issuer -> Subject уровень за уровнем, проверяет подпись дочернего сертификата открытым ключом родителя и в конечном итоге прослеживает до доверенного корня
  • Сертификаты Let's Encrypt по умолчанию действуют 90 дней, используются совместно с certbot и аналогичными инструментами для автоматического продления; коммерческие сертификаты обычно действуют от 1 до 3 лет
  • SNI (Server Name Indication) позволяет одному IP размещать несколько HTTPS-сайтов; клиент объявляет целевое имя хоста во время рукопожатия и получает соответствующий сертификат
  • OCSP используется для проверки отзыва в реальном времени, избегая загрузки громоздких CRL; крупные центры сертификации также используют OCSP Stapling
  • Истёкшие сертификаты, слабые алгоритмы подписи (SHA-1) и недостаточная длина ключа (RSA менее 2048 бит) вызывают предупреждения безопасности современных браузеров

Примеры

Проверка сертификата GitHub

github.com — издатель DigiCert TLS Hybrid ECC SHA384, осталось 67 дней, протокол TLS 1.3, SAN включает github.com и *.github.com

Проверка сертификата Google

google.com — издатель WR2 (Google Trust Services), осталось 84 дня, SAN включает *.google.com и google.com

Проверка собственного сертификата

blog.example.com — издатель Let's Encrypt R10, осталось 23 дня (скоро продлевать), алгоритм подписи ECDSA-SHA256

Часто задаваемые вопросы

Что показывает проверка сертификата?

Полную цепочку сертификатов (конечный, промежуточные, корневой), сроки действия, выпустивший CA, Common Name субъекта и Subject Alternative Names, алгоритм подписи, тип/размер открытого ключа, серийный номер сертификата, а также соответствие цепочки доверенному корню. Наш бэкенд подключается к хосту по порту 443 и сообщает увиденную цепочку.

Можно ли проверить сертификат на портах, отличных от 443?

Да — укажите host:port (например, example.com:8443). Некоторые сборки также проверяют IMAP (993), SMTP (465/587), POP3 (995) и другие TLS-порты. Протокол должен использовать чистый TLS или поддерживаемый страницей STARTTLS.

Что означает «истекает через N дней»?

Дата notAfter в сертификате. После неё современные браузеры откажутся загружать сайт. Настройте автообновление минимум за 30 дней до истечения. Сертификаты Let's Encrypt действуют 90 дней — большинство операторов автоматически обновляют их на 60-й день.

Почему мой сертификат здесь выглядит валидным, но не работает в браузерах?

Частые причины: неправильный порядок цепочки (сервер отдаёт промежуточные в неверном порядке); отсутствует промежуточный сертификат (сервер отправляет только конечный); корень отсутствует в хранилище доверенных в браузере (приватный CA, ведомственный CA, не входящий в стандартные комплекты); несоответствие SNI (сервер возвращает не тот сертификат для вашего хоста). Страница обычно отмечает каждую такую проблему.

В чём разница между сертификатами DV, OV и EV?

Domain Validation (DV): подтверждается только контроль над доменом. Organization Validation (OV): подтверждается существование компании. Extended Validation (EV): более тщательная проверка бизнеса. Современные браузеры показывают все три одинаково (просто замок); EV с 2019 года в большинстве браузеров уже не подсвечивает адресную строку зелёным.

Можно ли проверить самоподписанный или приватный CA-сертификат?

Да. Страница покажет сертификат, но пометит его как «недоверенный», потому что CA нет в публичном корневом хранилище. Полезно для проверки собственных корпоративных или тестовых сертификатов.

Раскрываются ли данные хоста?

Проверка подключается с нашего бэкенда к хосту по порту 443 — как любой обычный TLS-клиент. Хост запишет это подключение в логи. Не запускайте проверку для хостов, на которых внешнее сканирование запрещено.

Похожие инструменты

Whois запрос

Бесплатный онлайн-инструмент Whois для доменов. Проверьте информацию о регистрации домена, срок действия, DNS-серверы, регистратор. Поддержка глобальных доменных расширений, защита приватности в браузере.

Инструмент поиска IP-адреса

Бесплатный онлайн-инструмент для определения вашего публичного IP-адреса и геолокации: страна, город и провайдер. Узнайте свой IP мгновенно в браузере.

Инструмент проверки порта

Онлайн-инструмент проверки портов. Проверьте, открыты ли порты на IP-адресе или домене. Пакетная проверка, отображение времени ответа, защита приватности в браузере.

Инструмент Ping-теста

Бесплатный онлайн-инструмент Ping-тестирования. Проверьте сетевую связность и задержку сервера или домена. Поддержка настройки количества пингов, отображение потери пакетов, средней задержки и детальной статистики.

Запрос HTTP-кодов состояния

Бесплатный онлайн-справочник кодов состояния HTTP: все стандартные коды от 1xx до 5xx с описанием. Поиск и фильтр по категориям для быстрого поиска кода.

Инструмент преобразования меток времени

Бесплатный онлайн-конвертер Unix-меток времени в дату и обратно. Поддержка секунд, миллисекунд и нескольких часовых поясов — удобно для отладки и логов.