La requête passe-t-elle par votre serveur ?

Oui. Le navigateur ne peut pas ouvrir une socket TLS brute - le handshake TLS se passe sur notre **backend Node.js**, qui se connecte à l'host cible, récupère la chaîne de certificats, et la renvoie en JSON. **On ne logue pas les hostnames** et on ne stocke pas le certificat. Il y a une limite de débit de **30 vérifications par heure par IP** pour garder le service réactif.

Qu'est-ce qu'une "chaîne" et pourquoi y a-t-il 3 certs ?

TLS utilise une **chaîne de confiance**. Le **cert feuille** (votre domaine) est signé par une **CA intermédiaire**, elle-même signée par une **CA racine** intégrée dans chaque système d'exploitation. Une chaîne typique fait **3 certificats** : feuille → intermédiaire → racine. Certains setups ont **2 intermédiaires**. **Un seul cert** dans la chaîne signifie presque toujours **auto-signé** (développement) ou **intermédiaires manquants** (serveur mal configuré).

"Jours restants" est négatif - quoi faire ?

Le cert a **expiré**. Tout navigateur, tout client mail, tout client API refusera de parler à votre serveur. **Renouvelez immédiatement** : Let's Encrypt renouvelle avec `certbot renew`, les CA payantes vous envoient un nouveau cert par email. Après renouvellement, **redémarrez le serveur web** (`nginx -s reload`, `systemctl reload nginx`) - recharger juste la config suffit en général, pas besoin de redémarrage complet.

"Le hostname ne correspond pas au certificat" - qu'est-ce que ça veut dire ?

Le cert est émis pour **d'autres noms**. Les navigateurs comparent le hostname que vous avez tapé contre les listes **CN** et **SubjectAltName** (SAN) du cert. Mismatches qu'on voit quotidiennement : cert pour `exemple.fr` seulement (pas de `www.`), cert pour `*.exemple.fr` seulement (pas l'apex), cert pour le domaine par défaut de l'**host partagé** (vous avez déployé sans installer votre propre cert). L'inspecteur liste les SANs pour que vous voyiez exactement ce que le cert couvre.

Qu'est-ce qu'une "signature faible" ?

Un cert signé avec **SHA-1** ou **MD5**. Les navigateurs ont arrêté de faire confiance aux certs SHA-1 en **2017** parce que les collisions SHA-1 sont maintenant faisables - un attaquant peut en théorie forger un autre cert avec la même signature. **Tous les certs modernes utilisent SHA-256 ou mieux**. Voir SHA-1 signifie que l'émetteur est louche ou que le cert est ancien. Remplacez-le.

Qu'est-ce qu'une "clé faible" ?

**RSA sous 2048 bits** ou **ECDSA sous 256 bits**. RSA-1024 a été déprécié par **NIST en 2013** ; les CA modernes n'émettent rien de plus petit que RSA-2048 ou ECDSA P-256. Si vous voyez une clé faible dans votre chaîne, le cert a été généré incorrectement (vieux défaut `openssl req`, outillage ancien). **Ré-émettez avec `openssl req -newkey rsa:2048`** ou `-newkey ec:secp384r1`.

Ma chaîne dit "incomplète" mais le navigateur est content. Pourquoi ?

Les navigateurs intègrent le **fetching AIA (Authority Information Access)** - si le serveur omet un intermédiaire, le navigateur le télécharge depuis l'URL dans l'extension AIA du cert. **Les clients mail, apps Java, curl, apps mobiles** ne le font généralement pas - ils échouent immédiatement. **Corrigez le serveur** : ajoutez la chaîne complète à votre config nginx / Apache / Caddy (concaténez feuille + intermédiaire(s) dans `fullchain.pem`).

Puis-je vérifier un serveur sur un port autre que 443 ?

Oui. Tapez le port dans le champ **Port**, ou utilisez **host:port** dans le champ hostname. Ports TLS hors 443 courants : **465** (SMTPS), **587** (Submission avec STARTTLS - ne marchera pas ici, le serveur démarre en clair puis upgrade), **993** (IMAPS), **995** (POP3S), **8443** / **9443** (panels admin). **Les protocoles STARTTLS ne sont pas supportés** - ils demandent de parler d'abord le protocole sous-jacent.

Que veut dire "auto-signé" ?

Le cert s'est signé lui-même au lieu d'être signé par une CA publique. **Courant en développement** (`mkcert`, `openssl req -x509`), en **PKI interne d'entreprise** (votre DSI fait tourner sa propre CA), et dans les **serveurs mal configurés** (quelqu'un a oublié d'installer le vrai cert). Les certs auto-signés ne sont pas approuvés par les navigateurs - vous verrez l'avertissement "Non sécurisé" sauf si l'utilisateur ajoute manuellement le cert.

Mon domaine est-il visible par qui que ce soit ?

Le hostname va à notre serveur, puis à l'host cible via l'internet public. **On ne le logue pas**. Quiconque fait tourner un observatoire TLS ([crt.sh](https://crt.sh), Censys, Shodan) voit déjà chaque cert émis pour votre domaine - l'inspecteur ne révèle rien qui ne soit déjà public.

Inspecteur certificat SSL - gratuit

Inspecteur de certificat SSL

Saisissez un domaine et cliquez sur Vérifier. Nous ouvrons un vrai handshake TLS depuis notre serveur et vous montrons la chaîne complète, les dates de validité, la force de la clé, l’algorithme de signature et les avertissements.

Votre requête va à notre serveur, qui se connecte à l’hôte et retourne son certificat public. Nous ne loguons rien.

Que montre l'inspecteur de certificat SSL ?

Tapez un domaine (ou hostname:port), cliquez sur Vérifier, et l'outil ouvre un vrai handshake TLS vers ce serveur et lit sa chaîne de certificats. Vous obtenez les mêmes données que votre navigateur voit en cliquant sur le cadenas, plus quelques bonus : jours avant expiration, force de la clé publique, algorithme de signature, empreintes SHA-1 / SHA-256, SANs, URLs AIA et CRL.

Utile quand HTTPS a cassé ("ERR_CERT_DATE_INVALID", "NET::ERR_CERT_AUTHORITY_INVALID"), quand vous êtes sur le point de renouveler un cert et voulez confirmer que le nouveau est en ligne, ou quand vous auditez un service fraîchement déployé et avez besoin de preuves que la chaîne est complète.

Fonctionne sur le port 443 par défaut, mais aussi 465 (SMTPS), 993 (IMAPS), 8443 (panels admin), tout port parlant TLS.

Mode d'emploi

Tapez un hostname comme `exemple.fr` ou `mail.google.com`. Sautez le https://, c'est le protocole, pas une partie du nom.

Besoin d'un port non standard ? Tapez-le après deux-points : `exemple.fr:8443`, ou remplissez le champ Port dédié.

Cliquez sur Vérifier. Notre serveur ouvre un handshake TLS, 1 à 3 secondes sur un lien typique.

Lisez la chaîne de haut en bas : feuille (votre domaine) → intermédiaire (émis par une racine) → CA racine (DigiCert, Let's Encrypt, etc.). Les avertissements apparaissent en pastilles rouges en haut.

Quand cet outil est utile

Six situations du quotidien :

HTTPS a cassé dans le navigateur. Le cadenas a disparu ou vous avez obtenu "NET::ERR_CERT_*". L'inspecteur vous dit quelle vérif a échoué : expiré, mismatch hostname, intermédiaire manquant, signature faible.
Renouvellement de cert. Vous venez de déployer un nouveau cert Let's Encrypt / DigiCert. Vérifiez que la chaîne est complète et que la fenêtre de validité commence maintenant.
Audit serveur mail. Vérifiez SMTPS (465), IMAPS (993), Submission (587) - les clients mail sont plus stricts que les navigateurs sur les chaînes.
Services internes. admin.votredomaine.fr:8443, vpn.votredomaine.fr:443, api.votredomaine.fr. Confirmez qu'aucun n'est à quelques jours d'expirer.
Vérification vendeur / tiers. Avant d'intégrer une API partenaire, jetez un œil à leur cert : émetteur de confiance, SAN valide, pas de SHA-1.
Migration. Vous avez déplacé un site vers un nouvel host. Confirmez que le nouveau serveur présente le bon cert (pas l'ancien, pas le cert par défaut de l'host). Revérifiez aussi le DNS dans la consultation DNS et la propriété dans la consultation WHOIS. Pour un CSR frais avant de réémettre le cert, utilisez le générateur de CSR.

Questions fréquentes

Même idée, sans terminal. openssl s_client -connect host:443 -showcerts est le gold standard, mais la sortie est dense et il faut la parser à la main. Cet outil lance le même handshake TLS depuis notre serveur et pretty-print le résultat. Vérifications hostname, expiration, signature, force de clé, SANs, AIA, CRL sont tous remontés en pastilles et lignes prêtes à lire.

Que montre l'inspecteur de certificat SSL ?

Fonctionne sur le port 443 par défaut, mais aussi 465 (SMTPS), 993 (IMAPS), 8443 (panels admin), tout port parlant TLS.

Mode d'emploi

Tapez un hostname comme `exemple.fr` ou `mail.google.com`. Sautez le https://, c'est le protocole, pas une partie du nom.

Besoin d'un port non standard ? Tapez-le après deux-points : `exemple.fr:8443`, ou remplissez le champ Port dédié.

Cliquez sur Vérifier. Notre serveur ouvre un handshake TLS, 1 à 3 secondes sur un lien typique.

Quand cet outil est utile

Six situations du quotidien :

HTTPS a cassé dans le navigateur. Le cadenas a disparu ou vous avez obtenu "NET::ERR_CERT_*". L'inspecteur vous dit quelle vérif a échoué : expiré, mismatch hostname, intermédiaire manquant, signature faible.
Renouvellement de cert. Vous venez de déployer un nouveau cert Let's Encrypt / DigiCert. Vérifiez que la chaîne est complète et que la fenêtre de validité commence maintenant.
Audit serveur mail. Vérifiez SMTPS (465), IMAPS (993), Submission (587) - les clients mail sont plus stricts que les navigateurs sur les chaînes.
Services internes. admin.votredomaine.fr:8443, vpn.votredomaine.fr:443, api.votredomaine.fr. Confirmez qu'aucun n'est à quelques jours d'expirer.
Vérification vendeur / tiers. Avant d'intégrer une API partenaire, jetez un œil à leur cert : émetteur de confiance, SAN valide, pas de SHA-1.
Migration. Vous avez déplacé un site vers un nouvel host. Confirmez que le nouveau serveur présente le bon cert (pas l'ancien, pas le cert par défaut de l'host). Revérifiez aussi le DNS dans la consultation DNS et la propriété dans la consultation WHOIS. Pour un CSR frais avant de réémettre le cert, utilisez le générateur de CSR.

Questions fréquentes

Inspecteur certificat SSL

Que montre l'inspecteur de certificat SSL ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Décodeur JWT

Hash de mots de passe : MD5, SHA, bcrypt

Générateur secret TOTP

Inspecteur certificat SSL

Que montre l'inspecteur de certificat SSL ?

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Décodeur JWT

Hash de mots de passe : MD5, SHA, bcrypt

Générateur secret TOTP