Qu'est-ce que Décodeur de certificats SSL ?

SSL Certificate Decoder analyse les certificats X.509 encodés en PEM et affiche tous les champs — sujet, émetteur, dates de validité, SANs, utilisation de la clé et empreintes. Utilisez-le pour déboguer les problèmes HTTPS ou vérifier les détails d'un certificat avant le déploiement.

Le décodeur retire les en-têtes PEM, décode le base64 et parcourt la structure ASN.1 du X.509 pour extraire chaque champ : DN du sujet, DN de l'émetteur, numéro de série, période de validité, paramètres de clé publique, algorithme de signature, extensions Key Usage, EKU, SAN, contraintes de base, empreintes SHA-1 et SHA-256. L'analyse reste locale, important quand la chaîne contient des noms internes.

Comment utiliser

1. Collez un certificat encodé en PEM (le texte entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----).
2. Consultez les champs décodés : sujet, émetteur, numéro de série, période de validité, SANs et détails de la clé.
3. Vérifiez le statut d'expiration et copiez les champs individuels ou la sortie décodée complète.

Quand l'utiliser

• Vérifier qu'un certificat tout juste émis couvre tous les domaines du SAN avant le déploiement.
• Diagnostiquer un échec de handshake HTTPS en comparant le certificat réel aux empreintes attendues.
• Auditer la chaîne d'une CA interne pour repérer des algorithmes faibles ou des Key Usage dangereux.

Résultat

Un ingénieur DevOps reçoit un nouveau certificat wildcard pour *.example.com. Il colle le PEM ici pour vérifier que les SANs incluent tous les domaines attendus, confirme que la date d'expiration est dans 1 an et vérifie que l'algorithme de signature est SHA-256.

FAQ

Le contenu du certificat sort-il de mon navigateur ?

Non. L'analyse est locale, aucune requête réseau n'est envoyée au clic. Cela compte quand le certificat révèle des noms internes (intranet.acme.local) ou le nom d'une CA privée qu'on ne souhaite pas voir dans des logs tiers.

Quelle différence entre SHA-1 et SHA-256 ?

Les deux sont des hash du certificat encodé DER. SHA-1 est l'ancienne empreinte 160 bits que beaucoup d'outils affichent encore ; SHA-256 est sa version moderne 256 bits. Elles désignent le même certificat — utilisez celle attendue par votre outil de monitoring.

Comment savoir si un certificat est auto-signé ?

Comparez les champs Sujet et Émetteur. S'ils sont strictement identiques, le certificat est auto-signé (il s'est signé lui-même). Les navigateurs ne leur font pas confiance par défaut — utile pour des services internes avec son propre magasin de confiance, pas pour un site public.

Pourquoi le certificat est-il 'Pas encore valide' ?

L'heure actuelle est antérieure au notBefore. Soit la CA l'a daté dans le futur, soit l'horloge locale est fausse. Vérifiez d'abord l'heure système — quelques heures de décalage cassent souvent HTTPS dans des conteneurs CI ou des appareils embarqués.

Que veut dire le champ Key Usage ?

Il limite les usages légitimes de la clé publique. 'Digital Signature' et 'Key Encipherment' sont la combinaison classique pour un cert serveur TLS. 'CRL Sign' et 'Certificate Sign' marquent une CA. Si un certificat serveur a ces flags, c'est mal configuré et les clients peuvent refuser.

Outils similaires