SSL-Suche
Was die SSL-Suche anzeigt
Geben Sie einen Hostnamen ein (normalerweise ist Port 443 impliziert), um das öffentliche X.509-Zertifikat abzurufen, das der Server für HTTPS präsentiert. Sie können den allgemeinen Namen des Antragstellers, alternative Antragstellernamen (SANs) lesen, die jeden Hostnamen auflisten, den das Zertifikat abdeckt, die ausstellende Zertifizierungsstelle, den Signaturalgorithmus, die Seriennummer, das Gültigkeitsfenster und manchmal auch Organisationsdetails. Dies ist das gleiche Material, das Browser verwenden, um zu entscheiden, ob ein Vorhängeschloss angezeigt wird, ausgedrückt als strukturierte Felder, damit Sie eine Namensabweichung erkennen können, bevor ein Benutzer einen Screenshot eines gruseligen Interstitial macht.
Wann sollte es verwendet werden
Verwenden Sie es, wenn eine Website NET::ERR_CERT_COMMON_NAME_INVALID auslöst, Eine mobile App pinnt das falsche SPKI, eine Marketing-Microsite bedient immer noch den alten Platzhalter oder eine Load-Balancer-SNI-Tabelle ist falsch, sodass nur einige Pfade unterbrochen werden. Dies ist auch bei Sicherheitsüberprüfungen von Anbietern nützlich: Stellen Sie sicher, dass ein Partner tatsächlich eine moderne öffentliche Kette und kein selbstsigniertes Zertifikat aus dem Jahr 2012 vorlegt. Führen Sie anschließend die Nachschlagen von HTTP-Headern für HSTS und die DNS-Suche aus, um sicherzustellen, dass TLS-Clients sich mit dem erwarteten A/AAAA verbinden.
Funktioniert example
Sie erhalten einen Bericht, dass https://shop.example.com nicht vertrauenswürdig ist. Die SSL-Suche auf shop.example.com zeigt möglicherweise, dass das Zertifikat nur für www.example.com und den Apex gültig ist, während der Shop-Host im SAN fehlt. Fix: Stellen Sie ein Zertifikat erneut aus, das shop.example.com oder CNAME den Host hinter einem Namen auflistet, der bereits im Zertifikat enthalten ist. Die Tool-Ausgabe liefert Ihnen die genaue Zeichenfolgenliste, die Sie jedem, der Zertifikate bestellt, zur Hand geben können.
Häufig gestellte Fragen
Warum funktioniert die Website in meinem Browser, schlägt hier aber fehl?
Möglicherweise befinden Sie sich auf einem anderen Netzwerkpfad, im alten Cache-Status oder der Server gibt unterschiedliche Zertifikate pro SNI zurück. Probieren Sie den genauen Typ des Hostnamens aus, einschließlich oder ohne www.
Ist ein abgelaufenes Zertifikat das einzige Warnsignal?
Nein. Überprüfen Sie schwache Signaturalgorithmen, kurze RSA-Schlüssel, fehlende Zwischenketten und ob das Blattzertifikat mit Ihrer CAA-Richtlinie übereinstimmt, in DNS-Suche.
Führt dies einen vollständigen Scan im Stil von SSL Labs durch?
Diese Seite konzentriert sich auf das Zertifikatobjekt. Protokoll-Cipher-Suites, OCSP-Stapling und HSTS lassen sich besser aus Antwortheadern und dedizierten Scannern lesen, aber Sie können hier mit der Geschichte des Vertrauensankers beginnen.
Kann ich SMTP STARTTLS überprüfen?
Dafür ist eine Verbindung zum Mail-Port mit einem anderen STARTTLS-Verhalten erforderlich. Dieses Tool ist auf HTTPS-Hostnamen ausgerichtet. Verwenden Sie Ihr E-Mail-Administrator-Toolkit für Port 25/587-Zertifikatprüfungen.