SSL証明書デコーダーとは?
SSL Certificate DecoderはPEMエンコードされたX.509証明書を解析し、サブジェクト、発行者、有効期間、SAN、鍵用途、フィンガープリントなどの全フィールドを表示します。HTTPSの問題のデバッグやデプロイ前の証明書確認にお使いください。
デコーダーはまずPEMのヘッダーを取り除き、base64をデコードしてX.509のASN.1構造を走査し、Subject DN、Issuer DN、シリアル、有効期間、公開鍵パラメータ、署名アルゴリズム、Key Usage拡張、EKU、SAN、Basic Constraints、SHA-1/SHA-256フィンガープリントといった全フィールドを取り出します。解析はローカルで完結。証明書チェーンに内部ホスト名が含まれる場合、外部に出さない点が重要です。
使い方
- PEMエンコードされた証明書(-----BEGIN CERTIFICATE-----と-----END CERTIFICATE-----の間のテキスト)を貼り付けます。
- デコードされたフィールド(サブジェクト、発行者、シリアル番号、有効期間、SAN、鍵の詳細)を確認します。
- 有効期限のステータスを確認し、個々のフィールドまたはデコード結果全体をコピーします。
使用するタイミング
- 新規発行した証明書を本番投入する前に、SAN リストに必要なドメインがすべて入っているか確認する。
- HTTPS のハンドシェイク失敗時に、実際の証明書と期待されるフィンガープリントを突き合わせる。
- 社内 CA のチェーンを監査し、弱い署名アルゴリズムや不適切な Key Usage フラグがないかチェックする。
結果
DevOpsエンジニアが*.example.com用の新しいワイルドカード証明書を受け取ります。PEMをここに貼り付けて、SANに想定するすべてのドメインが含まれているか確認し、有効期限が1年先であること、署名アルゴリズムがSHA-256であることを検証します。
よくある質問
- 証明書の中身は外部に送信されますか?
- 送信されません。解析はローカルで完結し、デコードボタンを押してもネットワークリクエストは発生しません。intranet.acme.local のような内部ホスト名や、プライベート CA の名前が第三者のログに残らないので重要です。
- SHA-1 と SHA-256 のフィンガープリントの違いは?
- どちらも DER エンコードされた証明書のハッシュです。SHA-1 は 160 ビットの古いフィンガープリント、まだ多くのツールで表示されます。SHA-256 は 256 ビットの現代版。指し示す証明書は同一なので、使うツールが要求する方を使ってください。
- 自己署名証明書かどうかは何で見分けますか?
- Subject と Issuer の欄を比べてください。完全一致なら自己署名(自分で自分に署名)です。ブラウザはデフォルトで信頼しません。トラストストアを自分で管理する社内サービスでは使えますが、公開サイトでは使えません。
- 「まだ有効ではない」と出るのはなぜ?
- 現在時刻が証明書の notBefore より前です。CA が未来の日付で発行したか、端末のクロックがずれているかです。まずシステム時刻を確認してください。数時間のずれが、CI コンテナや組込み機器で HTTPS を壊す原因になります。
- Key Usage フィールドは何を意味しますか?
- 公開鍵が法的にどう使われてよいかを制限します。TLS サーバ証明書では「Digital Signature」と「Key Encipherment」が典型。「CRL Sign」「Certificate Sign」は CA の印です。サーバ証明書に CA フラグが立っている場合は設定ミスで、クライアントが拒否することがあります。