Geht der Request durch euren Server?

Ja. Der Browser kann keinen rohen TLS-Socket - der TLS-Handshake passiert in unserem **Node.js-Backend**, das sich zum Ziel-Host verbindet, die Kette holt und als JSON zurueckgibt. **Wir loggen keine Hostnamen** und speichern das Cert nicht. Rate-Limit **30 Checks/Stunde/IP**.

Was ist eine "Kette" und warum 3 Certs?

TLS nutzt eine **Vertrauenskette**. Das **Leaf-Cert** (deine Domain) ist von einer **Intermediate-CA** signiert, die ist von einer **Root-CA** signiert, die in jedem OS eingebacken ist. Typische Kette **3 Zertifikate**: Leaf -> Intermediate -> Root. Manche Setups haben **2 Intermediates**. **Ein einzelnes Cert** in der Kette heisst fast immer **selbst-signiert** (Dev) oder **fehlende Intermediates** (falsch konfiguriert).

"Days remaining" ist negativ - was nun?

Das Cert ist **abgelaufen**. Jeder Browser, Mail-Client, API-Client wird Verbindung verweigern. **Sofort erneuern**: Let's Encrypt mit `certbot renew`, bezahlte CAs schicken Mail. Nach Erneuerung **Webserver neustarten** (`nginx -s reload`, `systemctl reload nginx`) - meist reicht Config-Reload, kein voller Neustart.

"Hostname matcht nicht das Zertifikat" - was heisst das?

Das Cert ist fuer **andere Namen** ausgestellt. Browser vergleichen den Hostname mit der Cert-**CN** und **SubjectAltName**-Liste (SAN). Mismatches taeglich gesehen: Cert nur fuer `example.com` (kein `www.`), Cert nur fuer `*.example.com` (kein Apex), Cert fuers **Shared-Host-**Standard-Domain (du hast ohne eigenes Cert deployt). Der Inspektor listet SANs, damit du siehst, was das Cert abdeckt.

Was ist eine "schwache Signatur"?

Ein Cert mit **SHA-1** oder **MD5** signiert. Browser vertrauen SHA-1 seit **2017** nicht mehr, weil SHA-1-Kollisionen heute machbar sind - ein Angreifer kann theoretisch ein anderes Cert mit gleicher Signatur faelschen. **Alle modernen Certs nutzen SHA-256 oder besser**. SHA-1 zu sehen heisst, der Issuer ist suspekt oder das Cert ist uralt. Ersetzen.

Was ist ein "schwacher Schluessel"?

**RSA unter 2048 Bit** oder **ECDSA unter 256 Bit**. RSA-1024 hat **NIST 2013 abgekuendigt**; moderne CAs stellen nix unter RSA-2048 oder ECDSA P-256 aus. Siehst du das, wurde das Cert falsch generiert (alter `openssl req`-Default, uraltes Tooling). **Neu ausstellen mit `openssl req -newkey rsa:2048`** oder `-newkey ec:secp384r1`.

Meine Kette sagt "incomplete", aber der Browser ist happy. Warum?

Browser haben **AIA (Authority Information Access)**-Fetching - laesst der Server ein Intermediate weg, laedt der Browser es von der URL in der AIA-Extension. **Mail-Clients, Java-Apps, curl, Mobile-Apps** machen das meist nicht - sie scheitern sofort. **Server fixen**: volle Kette in nginx/Apache/Caddy-Config (Leaf + Intermediate(s) zu `fullchain.pem` zusammenfuegen).

Kann ich einen Server auf Nicht-443-Port pruefen?

Ja. Port im **Port**-Feld oder **host:port** im Hostname-Feld. Haeufige Nicht-443-TLS-Ports: **465** (SMTPS), **587** (Submission mit STARTTLS - funktioniert hier nicht, Server startet plain und upgradet), **993** (IMAPS), **995** (POP3S), **8443**/**9443** (Admin-Panels). **STARTTLS-Protokolle nicht unterstuetzt** - die brauchen erst das Unterprotokoll.

Was bedeutet "self-signed"?

Das Cert hat sich selbst signiert, statt von einer oeffentlichen CA. **Haeufig in Dev** (`mkcert`, `openssl req -x509`), in **interner Firmen-PKI** (eure IT betreibt eigene CA), und in **falsch konfigurierten Servern** (jemand hat vergessen, das echte Cert zu installieren). Browser vertrauen Self-Signed nicht, "Nicht sicher"-Warnung ausser User addet manuell.

Ist meine Domain irgendwem sichtbar?

Der Hostname geht an unseren Server, dann an den Ziel-Host ueber das oeffentliche Netz. **Wir loggen ihn nicht**. Jeder, der ein TLS-Observatorium ([crt.sh](https://crt.sh), Censys, Shodan) betreibt, sieht eh schon jedes Cert fuer deine Domain - der Inspektor verraet nichts, was nicht schon oeffentlich ist.

SSL-Zertifikat-Inspector - kostenlos

SSL-Zertifikat-Inspektor

Gib eine Domain ein und klicke auf Prüfen. Wir starten von unserem Server aus einen echten TLS-Handshake und zeigen dir die komplette Zertifikatskette, Gültigkeitsdaten, Schlüsselstärke, Signaturalgorithmus und Warnungen.

Deine Anfrage geht an unseren Server, der sich mit dem Host verbindet und dessen öffentliches Zertifikat zurückgibt. Wir loggen das nicht.

Was zeigt der SSL-Zertifikats-Inspektor?

Tipp eine Domain (oder hostname:port), klick Pruefen, das Tool oeffnet einen echten TLS-Handshake zum Server und liest die Zertifikatskette. Du kriegst die gleichen Daten wie dein Browser am Schloss-Symbol, plus paar Extras: Tage bis Ablauf, Public-Key-Staerke, Signatur-Algorithmus, SHA-1-/SHA-256-Fingerprints, SANs, AIA- und CRL-URLs.

Nuetzlich, wenn HTTPS kaputt war ("ERR_CERT_DATE_INVALID", "NET::ERR_CERT_AUTHORITY_INVALID"), wenn du gleich ein Cert erneuerst und das neue live pruefen willst, oder beim Audit eines frisch deployten Services mit dem Beweis, dass die Kette komplett ist.

Per Default Port 443, aber auch 465 (SMTPS), 993 (IMAPS), 8443 (Admin-Panels), jeder TLS-Port.

So nutzt du das Tool

Tipp einen Hostname wie `example.com` oder `mail.google.com`. Lass https:// weg, das ist Protokoll, nicht Namensteil.

Nicht-Standard-Port? Mit Doppelpunkt: `example.com:8443`, oder das Port-Feld fuellen.

Klick Pruefen. Unser Server macht den TLS-Handshake, 1-3 Sekunden auf typischer Leitung.

Lies die Kette von oben nach unten: Leaf (deine Domain) -> Intermediate (von einer Root signiert) -> Root-CA (DigiCert, Let's Encrypt etc.). Warnungen rot oben.

Wann das nuetzlich ist

Sechs Alltagsszenarien:

HTTPS kaputt im Browser. Schloss weg oder "NET::ERR_CERT_*". Der Inspektor sagt, welcher Check fehlschlug: abgelaufen, Hostname-Mismatch, fehlendes Intermediate, schwache Signatur.
Cert-Renewal. Frisches Let's-Encrypt-/DigiCert-Cert deployt. Pruef, dass die Kette komplett ist und Gueltigkeitsfenster jetzt anfaengt.
Mailserver-Audit. Pruef SMTPS (465), IMAPS (993), Submission (587) - Mail-Clients sind strenger als Browser bei Ketten.
Interne Services. admin.deinedomain.de:8443, vpn.deinedomain.de:443, api.deinedomain.de. Pruef, dass keiner kurz vor Ablauf ist.
Vendor-/Drittanbieter-Check. Vor Integration einer Partner-API: vertrauenswuerdiger Issuer, valider SAN, kein SHA-1.
Migration. Site auf neuen Host umgezogen. Pruef, dass der neue Server das richtige Cert serviert (nicht das alte, nicht das Default-Cert). Auch DNS im DNS-Lookup und Owner im WHOIS checken. Fuer frische CSR vor Reissue den CSR-Generator.

Fragen und Antworten

Gleiche Idee, kein Terminal. openssl s_client -connect host:443 -showcerts ist Gold-Standard, aber dichte Ausgabe und du parst selbst. Das Tool macht den gleichen TLS-Handshake von unserem Server und pretty-printet. Hostname-Checks, Ablauf, Signatur, Key-Staerke, SANs, AIA, CRL alle als lesbare Chips und Zeilen.

Was zeigt der SSL-Zertifikats-Inspektor?

Per Default Port 443, aber auch 465 (SMTPS), 993 (IMAPS), 8443 (Admin-Panels), jeder TLS-Port.

So nutzt du das Tool

Tipp einen Hostname wie `example.com` oder `mail.google.com`. Lass https:// weg, das ist Protokoll, nicht Namensteil.

Nicht-Standard-Port? Mit Doppelpunkt: `example.com:8443`, oder das Port-Feld fuellen.

Klick Pruefen. Unser Server macht den TLS-Handshake, 1-3 Sekunden auf typischer Leitung.

Lies die Kette von oben nach unten: Leaf (deine Domain) -> Intermediate (von einer Root signiert) -> Root-CA (DigiCert, Let's Encrypt etc.). Warnungen rot oben.

Wann das nuetzlich ist

Sechs Alltagsszenarien:

HTTPS kaputt im Browser. Schloss weg oder "NET::ERR_CERT_*". Der Inspektor sagt, welcher Check fehlschlug: abgelaufen, Hostname-Mismatch, fehlendes Intermediate, schwache Signatur.
Cert-Renewal. Frisches Let's-Encrypt-/DigiCert-Cert deployt. Pruef, dass die Kette komplett ist und Gueltigkeitsfenster jetzt anfaengt.
Mailserver-Audit. Pruef SMTPS (465), IMAPS (993), Submission (587) - Mail-Clients sind strenger als Browser bei Ketten.
Interne Services. admin.deinedomain.de:8443, vpn.deinedomain.de:443, api.deinedomain.de. Pruef, dass keiner kurz vor Ablauf ist.
Vendor-/Drittanbieter-Check. Vor Integration einer Partner-API: vertrauenswuerdiger Issuer, valider SAN, kein SHA-1.
Migration. Site auf neuen Host umgezogen. Pruef, dass der neue Server das richtige Cert serviert (nicht das alte, nicht das Default-Cert). Auch DNS im DNS-Lookup und Owner im WHOIS checken. Fuer frische CSR vor Reissue den CSR-Generator.

Fragen und Antworten

SSL-Zertifikat-Inspector

Was zeigt der SSL-Zertifikats-Inspektor?

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

Passwort-Hashes: MD5, SHA, bcrypt

TOTP-2FA-Secret-Generator

SSL-Zertifikat-Inspector

Was zeigt der SSL-Zertifikats-Inspektor?

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

JWT Decoder

Passwort-Hashes: MD5, SHA, bcrypt

TOTP-2FA-Secret-Generator