¿Qué es Decodificador de certificados SSL?

SSL Certificate Decoder analiza certificados X.509 codificados en PEM y muestra todos los campos — sujeto, emisor, fechas de validez, SANs, uso de clave y huellas digitales. Úsalo para depurar problemas de HTTPS o verificar detalles de certificados antes de desplegar.

El decodificador retira las cabeceras PEM, decodifica el base64 y recorre la estructura ASN.1 del X.509 para sacar cada campo: DN del sujeto, DN del emisor, número de serie, ventana de validez, parámetros de clave pública, algoritmo de firma, extensiones de uso de clave, EKU, SAN, restricciones básicas y huellas SHA-1 y SHA-256. El parseo es local, importante cuando la cadena incluye nombres internos.

Cómo usar

1. Pega un certificado codificado en PEM (el texto entre -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----).
2. Consulta los campos decodificados: sujeto, emisor, número de serie, período de validez, SANs y detalles de clave.
3. Verifica el estado de expiración y copia campos individuales o toda la salida decodificada.

Cuándo usar

• Comprobar que un certificado recién emitido cubre todos los dominios del SAN antes de desplegar.
• Depurar un fallo de handshake HTTPS comparando el certificado obtenido con las huellas esperadas.
• Auditar la cadena de una CA interna en busca de algoritmos de firma débiles o usos de clave inseguros.

Resultado

Un ingeniero DevOps recibe un certificado wildcard nuevo para *.example.com. Pega el PEM aquí para verificar que los SANs incluyen todos los dominios esperados, confirmar que la fecha de expiración es dentro de 1 año y comprobar que el algoritmo de firma es SHA-256.

Preguntas frecuentes

¿El contenido del certificado sale de mi navegador?

No. El análisis es local; al pulsar decodificar no se envía petición de red. Es relevante si el certificado expone hostnames internos (intranet.acme.local) o el nombre de una CA privada que no debería aparecer en logs de terceros.

¿Qué diferencia hay entre las huellas SHA-1 y SHA-256?

Ambas son hashes del certificado en DER. SHA-1 es la huella antigua de 160 bits que muchos paneles todavía muestran; SHA-256 es la moderna de 256 bits. Identifican el mismo certificado — usa la que pida tu herramienta de monitorización.

¿Cómo sé si un certificado es autofirmado?

Compara los campos Sujeto y Emisor. Si coinciden exactamente, el certificado es autofirmado (se firma a sí mismo). Los navegadores no confían en ellos por defecto — sirven para servicios internos con su propio almacén de confianza, no para sitios públicos.

¿Por qué dice 'Aún no válido'?

La hora actual es anterior al notBefore del certificado. O la CA lo emitió con fecha futura, o tu reloj local va mal. Revisa primero la hora del sistema — un desfase de unas horas suele romper HTTPS en contenedores de CI y dispositivos embebidos.

¿Qué significa el campo Key Usage?

Limita los usos legales de la clave pública. 'Firma Digital' y 'Cifrado de clave' son lo típico para un certificado de servidor TLS. 'Firma CRL' y 'Firma Certificado' marcan una CA. Si un cert de servidor tiene flags de CA, hay un error de configuración y los clientes pueden rechazarlo.

Herramientas relacionadas