Проверка SSL-сертификата
Проверьте действительность SSL/TLS-сертификата, срок действия и цепочку сертификатов онлайн
Введите имя домена и нажмите "Проверить" для просмотра информации об SSL-сертификате
Что такое проверка SSL-сертификата?
Проверка SSL-сертификата показывает, действителен ли TLS-сертификат сайта, соответствует ли он запрошенному домену, правильно ли собрана цепочка и не близок ли срок окончания. HTTPS — это не только значок замка в браузере: он влияет на шифрование транспорта, подтверждение сервера, доверие пользователей, поисковую видимость, платежи, API-интеграции и автоматических клиентов. Инструмент полезен для эксплуатации, релизов, аудитов безопасности и разбора инцидентов, потому что показывает даты, издателя, имена доменов, детали цепочки и сигналы протокола. Частые проблемы — забытое продление, отсутствующий intermediate, неохваченный поддомен или сертификат на неправильном окружении. Security-related результат нельзя оценивать отдельно: важны ключи, контекст, выбор алгоритма и доверенный источник.
Как использовать
Как использовать
- Введите имя домена для проверки (например, google.com)
- Порт по умолчанию — 443. При необходимости измените его
- Нажмите кнопку «Проверить» или Enter, чтобы запустить проверку
- Просмотрите срок действия сертификата, дату истечения, версию протокола TLS и другую информацию
- Разверните цепочку сертификатов, чтобы увидеть подробности по каждому: издатель, алгоритм подписи, SAN и т. д.
Рекомендации по сертификатам
- Проверяйте точное имя хоста, включая поддомены: сертификат может быть действителен для одного имени и не совпадать с другим.
- Проверяйте цепочку после изменений DNS, CDN, балансировщика или обновления сертификата — она может отличаться в разных средах, даже для одного домена.
Применение
Технический принцип
Сертификаты SSL/TLS соответствуют стандарту X.509. Каждый сертификат содержит следующие ключевые поля: Subject (домен или организация владельца), Issuer (выдавший центр сертификации), Validity (даты Not Before / Not After), Subject Public Key Info (открытый ключ и алгоритм), Signature Algorithm (например, SHA256-RSA или ECDSA-SHA256) и расширения X509v3 (среди которых наиболее важным является расширение Subject Alternative Name). Во время TLS-рукопожатия сервер отправляет свою цепочку в порядке: листовой сертификат -> промежуточный(е) сертификат(ы) -> корневой сертификат (который встроен в браузер и не нуждается в отправке). Клиент начинает с листового сертификата, на каждом уровне проверяет, что Issuer совпадает с Subject родительского сертификата, использует открытый ключ родителя для проверки подписи дочернего сертификата, проверяет окно действия и в конечном итоге прослеживает цепочку до доверенного корня. Let's Encrypt выдаёт сертификаты сроком действия всего 90 дней, предназначенные для использования с автоматизацией, такой как certbot; коммерческие сертификаты обычно действуют от 1 до 3 лет. SNI (Server Name Indication) позволяет одному IP-адресу размещать несколько HTTPS-сайтов: клиент сначала отправляет расширение SNI во время рукопожатия, сообщая серверу целевое имя хоста, а сервер возвращает соответствующий сертификат. OCSP (Online Certificate Status Protocol) позволяет запрашивать в реальном времени, был ли сертификат отозван, избегая необходимости загружать громоздкие списки CRL.
- Поля сертификата X.509: Subject (владелец), Issuer, Validity, Public Key, Signature Algorithm и расширение SAN
- Проверка цепочки сертификатов: начинается с листового сертификата, проверяет совпадение Issuer -> Subject уровень за уровнем, проверяет подпись дочернего сертификата открытым ключом родителя и в конечном итоге прослеживает до доверенного корня
- Сертификаты Let's Encrypt по умолчанию действуют 90 дней, используются совместно с certbot и аналогичными инструментами для автоматического продления; коммерческие сертификаты обычно действуют от 1 до 3 лет
- SNI (Server Name Indication) позволяет одному IP размещать несколько HTTPS-сайтов; клиент объявляет целевое имя хоста во время рукопожатия и получает соответствующий сертификат
- OCSP используется для проверки отзыва в реальном времени, избегая загрузки громоздких CRL; крупные центры сертификации также используют OCSP Stapling
- Истёкшие сертификаты, слабые алгоритмы подписи (SHA-1) и недостаточная длина ключа (RSA менее 2048 бит) вызывают предупреждения безопасности современных браузеров
Примеры
Проверка сертификата GitHub
github.com — издатель DigiCert TLS Hybrid ECC SHA384, осталось 67 дней, протокол TLS 1.3, SAN включает github.com и *.github.comПроверка сертификата Google
google.com — издатель WR2 (Google Trust Services), осталось 84 дня, SAN включает *.google.com и google.comПроверка собственного сертификата
blog.example.com — издатель Let's Encrypt R10, осталось 23 дня (скоро продлевать), алгоритм подписи ECDSA-SHA256Часто задаваемые вопросы
Что показывает проверка сертификата?
Полную цепочку сертификатов (конечный, промежуточные, корневой), сроки действия, выпустивший CA, Common Name субъекта и Subject Alternative Names, алгоритм подписи, тип/размер открытого ключа, серийный номер сертификата, а также соответствие цепочки доверенному корню. Наш бэкенд подключается к хосту по порту 443 и сообщает увиденную цепочку.
Можно ли проверить сертификат на портах, отличных от 443?
Да — укажите host:port (например, example.com:8443). Некоторые сборки также проверяют IMAP (993), SMTP (465/587), POP3 (995) и другие TLS-порты. Протокол должен использовать чистый TLS или поддерживаемый страницей STARTTLS.
Что означает «истекает через N дней»?
Дата notAfter в сертификате. После неё современные браузеры откажутся загружать сайт. Настройте автообновление минимум за 30 дней до истечения. Сертификаты Let's Encrypt действуют 90 дней — большинство операторов автоматически обновляют их на 60-й день.
Почему мой сертификат здесь выглядит валидным, но не работает в браузерах?
Частые причины: неправильный порядок цепочки (сервер отдаёт промежуточные в неверном порядке); отсутствует промежуточный сертификат (сервер отправляет только конечный); корень отсутствует в хранилище доверенных в браузере (приватный CA, ведомственный CA, не входящий в стандартные комплекты); несоответствие SNI (сервер возвращает не тот сертификат для вашего хоста). Страница обычно отмечает каждую такую проблему.
В чём разница между сертификатами DV, OV и EV?
Domain Validation (DV): подтверждается только контроль над доменом. Organization Validation (OV): подтверждается существование компании. Extended Validation (EV): более тщательная проверка бизнеса. Современные браузеры показывают все три одинаково (просто замок); EV с 2019 года в большинстве браузеров уже не подсвечивает адресную строку зелёным.
Можно ли проверить самоподписанный или приватный CA-сертификат?
Да. Страница покажет сертификат, но пометит его как «недоверенный», потому что CA нет в публичном корневом хранилище. Полезно для проверки собственных корпоративных или тестовых сертификатов.
Раскрываются ли данные хоста?
Проверка подключается с нашего бэкенда к хосту по порту 443 — как любой обычный TLS-клиент. Хост запишет это подключение в логи. Не запускайте проверку для хостов, на которых внешнее сканирование запрещено.