Was ist SSL-Zertifikat-Decoder?

SSL Certificate Decoder analysiert PEM-kodierte X.509-Zertifikate und zeigt alle Felder an — Betreff, Aussteller, Gültigkeitsdaten, SANs, Schlüsselverwendung und Fingerabdrücke. Nutzen Sie ihn zum Debuggen von HTTPS-Problemen oder zur Überprüfung von Zertifikatsdetails vor dem Deployment.

Der Decoder entfernt die PEM-Header, dekodiert das Base64 und läuft durch die ASN.1-Struktur des X.509-Zertifikats, um jedes Feld zu extrahieren: Subject DN, Issuer DN, Seriennummer, Gültigkeit, Public-Key-Parameter, Signaturalgorithmus, Key-Usage-Extensions, EKU, SANs, Basic Constraints, SHA-1- und SHA-256-Fingerprints. Die Auswertung läuft lokal — wichtig, wenn die Kette interne Hostnamen enthält.

Anleitung

1. Fügen Sie ein PEM-kodiertes Zertifikat ein (den Text zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----).
2. Sehen Sie sich die dekodierten Felder an: Betreff, Aussteller, Seriennummer, Gültigkeitszeitraum, SANs und Schlüsseldetails.
3. Prüfen Sie den Ablaufstatus und kopieren Sie einzelne Felder oder die gesamte dekodierte Ausgabe.

Wann verwenden

• Vor dem Deployment prüfen, ob ein frisch ausgestelltes Zertifikat alle Domains im SAN abdeckt.
• Einen TLS-Handshake-Fehler debuggen, indem das tatsächliche Zertifikat mit erwarteten Fingerprints abgeglichen wird.
• Eine interne CA-Kette auf schwache Signaturalgorithmen oder unsichere Key-Usage-Flags prüfen.

Ergebnis

Ein DevOps-Ingenieur erhält ein neues Wildcard-Zertifikat für *.example.com. Er fügt das PEM hier ein, um zu überprüfen, ob die SANs alle erwarteten Domains enthalten, bestätigt das Ablaufdatum in einem Jahr und prüft, ob der Signaturalgorithmus SHA-256 ist.

Häufige Fragen

Verlässt der Inhalt des Zertifikats meinen Browser?

Nein. Das Parsing läuft lokal; beim Klick auf Decodieren wird kein Netzwerk-Request ausgeführt. Wichtig, wenn das Zertifikat interne Hostnamen (intranet.acme.local) oder den Namen einer privaten CA enthält, die nicht in fremden Logs auftauchen sollen.

Worin liegt der Unterschied zwischen SHA-1- und SHA-256-Fingerprints?

Beides sind Hashes des DER-kodierten Zertifikats. SHA-1 ist der ältere 160-Bit-Fingerprint, den viele Tools weiterhin anzeigen; SHA-256 die moderne 256-Bit-Variante. Sie identifizieren dasselbe Zertifikat — nimm den, den dein Monitoring erwartet.

Wie erkenne ich ein selbstsigniertes Zertifikat?

Vergleiche Subject und Issuer. Stimmen sie exakt überein, ist das Zertifikat selbstsigniert (es signiert sich selbst). Browser vertrauen ihm standardmäßig nicht — passt für interne Services mit eigenem Trust Store, nicht für öffentliche Webseiten.

Warum erscheint 'Noch nicht gültig'?

Die aktuelle Zeit liegt vor dem notBefore. Entweder hat die CA ein Datum in der Zukunft gesetzt oder die lokale Uhr ist falsch. Erst die Systemzeit prüfen — schon ein paar Stunden Drift zerlegen HTTPS in CI-Containern und Embedded-Geräten häufig.

Was bedeutet das Feld Key Usage?

Es schränkt die zulässigen Verwendungen des Public Key ein. 'Digital Signature' und 'Key Encipherment' sind die typische Kombination für TLS-Serverzertifikate. 'CRL Sign' und 'Certificate Sign' kennzeichnen eine CA. Hat ein Serverzertifikat CA-Flags, ist die Konfiguration falsch und Clients können es ablehnen.

Ähnliche Tools