Что такое Декодер SSL-сертификатов?

SSL Certificate Decoder разбирает PEM-кодированные сертификаты X.509 и показывает все поля — субъект, издатель, сроки действия, SAN, использование ключа и отпечатки. Используйте для отладки проблем с HTTPS или проверки данных сертификата перед развёртыванием.

Декодер снимает PEM-заголовки, декодирует base64 и обходит ASN.1-структуру X.509, извлекая каждое поле: DN субъекта, DN издателя, серийный номер, период действия, параметры открытого ключа, алгоритм подписи, расширения Key Usage, EKU, SAN, базовые ограничения, отпечатки SHA-1 и SHA-256. Разбор идёт локально — это важно, когда в цепочке встречаются внутренние имена хостов.

Как использовать

1. Вставьте PEM-кодированный сертификат (текст между -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----).
2. Просмотрите декодированные поля: субъект, издатель, серийный номер, период действия, SAN и параметры ключа.
3. Проверьте статус истечения срока и скопируйте отдельные поля или весь декодированный результат.

Когда использовать

• Перед деплоем убедиться, что только что выписанный сертификат покрывает все домены из SAN.
• Разбирать сбой TLS-рукопожатия, сравнивая полученный сертификат с ожидаемыми отпечатками.
• Аудит цепочки внутренней CA: ищем слабые алгоритмы подписи и небезопасные флаги Key Usage.

Результат

DevOps-инженер получает новый wildcard-сертификат для *.example.com. Он вставляет PEM сюда, чтобы убедиться, что SAN включает все нужные домены, срок действия составляет 1 год, а алгоритм подписи — SHA-256.

Частые вопросы

Содержимое сертификата уходит куда-то наружу?

Нет. Разбор локальный — при нажатии «декодировать» сетевой запрос не уходит. Это важно, если в сертификате видны внутренние имена (intranet.acme.local) или название частной CA, которые не должны попасть в чужие логи.

В чём разница между отпечатками SHA-1 и SHA-256?

Оба — хэши DER-кодированного сертификата. SHA-1 — старый 160-битный отпечаток, его до сих пор показывает много инструментов; SHA-256 — современный 256-битный. Идентифицируют один и тот же сертификат: используйте тот, который ждёт ваш мониторинг.

Как понять, что сертификат самоподписанный?

Сравните поля Subject и Issuer. Совпали полностью — сертификат самоподписан (сам себя подписал). Браузеры по умолчанию ему не доверяют. Подходит для внутренних сервисов с собственным хранилищем доверия, но не для публичных сайтов.

Почему сертификат показывает «Ещё не действителен»?

Текущее время раньше notBefore. Либо CA указала будущую дату, либо часы локальной машины врут. Сначала проверьте системное время — расхождение в пару часов часто ломает HTTPS в CI-контейнерах и встроенных устройствах.

Что означает поле Key Usage?

Оно ограничивает, для чего разрешено использовать открытый ключ. Для TLS-серверов обычны «Digital Signature» и «Key Encipherment». «CRL Sign» и «Certificate Sign» — признак CA. Если флаги CA стоят на серверном сертификате, конфигурация ошибочна и клиенты могут его отвергнуть.

Похожие инструменты