Czy zapytanie idzie przez Wasz serwer?

Tak. Przeglądarka nie potrafi otworzyć surowego gniazda TLS - TLS handshake odbywa się na naszym **backendzie Node.js**, który łączy się z docelowym hostem, pobiera łańcuch certyfikatów i zwraca jako JSON. **Nie logujemy nazw hostów** i nie zapisujemy certyfikatu. Jest limit **30 sprawdzeń na godzinę z jednego IP**, żeby serwis działał szybko dla wszystkich.

Co to "łańcuch" i czemu są tam 3 certy?

TLS używa **łańcucha zaufania**. **Leaf cert** (Twoja domena) jest podpisany przez **intermediate CA**, który jest podpisany przez **root CA** zaszyty w każdym systemie operacyjnym. Typowy łańcuch to **3 certyfikaty**: leaf → intermediate → root. Niektóre setupy mają **2 intermediate**. **Pojedynczy cert** w łańcuchu prawie zawsze oznacza **self-signed** (development) albo **brak intermediate** (źle skonfigurowany serwer).

"Dni pozostało" jest ujemne - co teraz?

Cert **wygasł**. Każda przeglądarka, każdy klient pocztowy, każdy klient API odmówi rozmowy z Twoim serwerem. **Odnów natychmiast**: Let's Encrypt odnawia przez `certbot renew`, płatne CA przyślą nowy cert e-mailem. Po odnowieniu **restartuj serwer www** (`nginx -s reload`, `systemctl reload nginx`) - przeładowanie samej konfiguracji zwykle wystarczy, pełen restart nie jest potrzebny.

"Nazwa hosta nie pasuje do certyfikatu" - co to znaczy?

Cert jest wystawiony na **inne nazwy**. Przeglądarki porównują nazwę, którą wpisałeś, z **CN** certu i listą **SubjectAltName** (SAN). Mismatche, które widzimy codziennie: cert tylko na `example.com` (bez `www.`), cert tylko na `*.example.com` (bez apex), cert na **domyślną domenę współdzielonego hostingu** (wdrożyłeś bez własnego certu). Inspector listuje SAN-y, żebyś dokładnie widział, co cert obejmuje.

Co to "słaby podpis"?

Cert podpisany przez **SHA-1** albo **MD5**. Przeglądarki przestały ufać certom SHA-1 w **2017**, bo kolizje SHA-1 stały się wykonalne - atakujący może w teorii zaforgować inny cert z tym samym podpisem. **Wszystkie nowoczesne certy używają SHA-256 albo lepszego**. Jak widzisz SHA-1 - wystawca jest podejrzany albo cert jest prehistoryczny. Wymień.

Co to "słaby klucz"?

**RSA poniżej 2048 bitów** albo **ECDSA poniżej 256 bitów**. RSA-1024 zostało uznane za przestarzałe przez **NIST w 2013**; nowoczesne CA nie wystawią niczego mniejszego niż RSA-2048 albo ECDSA P-256. Jak widzisz słaby klucz w swoim łańcuchu - cert został wygenerowany nieprawidłowo (stary domyślny `openssl req`, archaiczne narzędzia). **Wystaw ponownie przez `openssl req -newkey rsa:2048`** albo `-newkey ec:secp384r1`.

Mój łańcuch mówi "incomplete", ale przeglądarka jest zadowolona. Dlaczego?

Przeglądarki mają wbudowane **AIA fetching (Authority Information Access)** - jak serwer pominie intermediate, przeglądarka pobierze go z adresu w rozszerzeniu AIA certu. **Klienci pocztowi, aplikacje Java, curl, aplikacje mobilne** zwykle nie - po prostu padają. **Napraw serwer**: dodaj pełen łańcuch do konfigu nginx / Apache / Caddy (skonkatenuj leaf + intermediate w `fullchain.pem`).

Mogę sprawdzić serwer na porcie innym niż 443?

Tak. Wpisz port w polu **Port**, albo użyj **host:port** w polu hosta. Typowe porty TLS poza 443: **465** (SMTPS), **587** (Submission ze STARTTLS - tu nie zadziała, serwer startuje plain i się dopiero podnosi), **993** (IMAPS), **995** (POP3S), **8443** / **9443** (panele admin). **STARTTLS nie jest wspierany** - wymaga najpierw rozmowy w protokole bazowym.

Cert podpisał się sam, zamiast zostać podpisany przez publiczne CA. **Częste w developmencie** (`mkcert`, `openssl req -x509`), w **wewnętrznym korporacyjnym PKI** (Twój dział IT prowadzi własne CA), i w **źle skonfigurowanych serwerach** (ktoś zapomniał zainstalować prawdziwy cert). Self-signed nie są zaufane przez przeglądarki - zobaczysz ostrzeżenie "Niezabezpieczone", chyba że użytkownik ręcznie doda cert do zaufanych.

Czy moja domena jest widoczna dla innych?

Nazwa hosta idzie do naszego serwera, potem do docelowego hosta przez publiczny internet. **Nie logujemy jej**. Każdy obserwujący TLS ([crt.sh](https://crt.sh), Censys, Shodan) już widzi każdy cert wystawiony dla Twojej domeny - inspector nie ujawnia niczego, co nie jest już publiczne.

Sprawdzanie certyfikatu SSL - darmowy

Sprawdzanie certyfikatu SSL

Wpisz domenę i klik Sprawdź. Otwieramy prawdziwy TLS handshake do hosta z naszego serwera i pokazujemy pełen łańcuch certyfikatów, daty ważności, siłę klucza, podpis i ostrzeżenia.

Twoje zapytanie trafia do naszego serwera, który łączy się z hostem i zwraca jego publiczny certyfikat. Nie zapisujemy.

Co pokazuje sprawdzanie certyfikatu SSL?

Wpisujesz domenę (lub host:port), klikasz Sprawdź, a tool otwiera prawdziwy TLS handshake do tego serwera i pobiera łańcuch certyfikatów. Dostajesz te same dane, które widzi Twoja przeglądarka po kliknięciu w kłódkę, plus kilka ekstrasów: ile dni do wygaśnięcia, siłę klucza publicznego, algorytm podpisu, odciski SHA-1 i SHA-256, listę SAN, adresy AIA i CRL.

Przydaje się, gdy HTTPS przestał działać ("ERR_CERT_DATE_INVALID", "NET::ERR_CERT_AUTHORITY_INVALID"), gdy odnawiasz certyfikat i chcesz potwierdzić, że nowy jest już aktywny, albo gdy audytujesz świeżo wystawioną usługę i potrzebujesz dowodu, że łańcuch jest kompletny.

Domyślnie sprawdza port 443, ale działa też z 465 (SMTPS), 993 (IMAPS), 8443 (panele admin), każdym portem mówiącym po TLS.

Jak korzystać

Wpisz nazwę hosta typu `example.com` albo `mail.google.com`. Pomiń https://, to protokół, nie nazwa.

Niestandardowy port? Wpisz go po dwukropku: `example.com:8443`, albo wypełnij osobne pole Port.

Klik Sprawdź. Nasz serwer otwiera TLS handshake, 1-3 sekundy przy typowym łączu.

Czytaj łańcuch od góry: leaf (Twoja domena) → intermediate (wystawiony przez root) → root CA (DigiCert, Let's Encrypt itd.). Ostrzeżenia pokażą się jako czerwone chipy u góry.

Do czego się przydaje

Sześć codziennych sytuacji:

HTTPS przestał działać w przeglądarce. Zniknęła kłódka albo wyskoczyło "NET::ERR_CERT_*". Inspector pokaże, który check zawiódł: wygasł, nie pasuje host, brak intermediate, słaby podpis.
Odnawianie certyfikatu. Właśnie wdrożyłeś nowy cert Let's Encrypt / DigiCert. Sprawdź, czy łańcuch jest kompletny i czy okno ważności zaczyna się teraz.
Audyt serwera pocztowego. Sprawdź SMTPS (465), IMAPS (993), Submission (587) - klienci pocztowi są bardziej rygorystyczni od przeglądarek przy łańcuchu.
Usługi wewnętrzne. admin.twojadomena.pl:8443, vpn.twojadomena.pl:443, api.twojadomena.pl. Potwierdź, że żadnemu nie kończy się ważność za parę dni.
Kontrola dostawcy / strony trzeciej. Zanim podłączysz API partnera, rzuć okiem na ich cert: zaufany wystawca, poprawny SAN, brak SHA-1.
Migracja. Przeniosłeś stronę na nowy hosting. Potwierdź, że nowy serwer serwuje właściwy cert (nie stary, nie domyślny cert hostingu). Przy okazji puść jeszcze sprawdzanie DNS i sprawdź właściciela domeny w WHOIS. Świeży CSR przed odnowieniem przygotuje generator CSR.

Pytania i odpowiedzi

Ta sama idea, bez terminala. openssl s_client -connect host:443 -showcerts to złoty standard, ale output jest gęsty i musisz parsować go sam. Ten tool robi ten sam TLS handshake z naszego serwera i ładnie wyświetla wynik. Match nazwy hosta, wygaśnięcie, podpis, siła klucza, SAN-y, AIA, CRL są wyciągnięte na chipy i wiersze gotowe do czytania.

Co pokazuje sprawdzanie certyfikatu SSL?

Domyślnie sprawdza port 443, ale działa też z 465 (SMTPS), 993 (IMAPS), 8443 (panele admin), każdym portem mówiącym po TLS.

Jak korzystać

Wpisz nazwę hosta typu `example.com` albo `mail.google.com`. Pomiń https://, to protokół, nie nazwa.

Niestandardowy port? Wpisz go po dwukropku: `example.com:8443`, albo wypełnij osobne pole Port.

Klik Sprawdź. Nasz serwer otwiera TLS handshake, 1-3 sekundy przy typowym łączu.

Czytaj łańcuch od góry: leaf (Twoja domena) → intermediate (wystawiony przez root) → root CA (DigiCert, Let's Encrypt itd.). Ostrzeżenia pokażą się jako czerwone chipy u góry.

Do czego się przydaje

Sześć codziennych sytuacji:

HTTPS przestał działać w przeglądarce. Zniknęła kłódka albo wyskoczyło "NET::ERR_CERT_*". Inspector pokaże, który check zawiódł: wygasł, nie pasuje host, brak intermediate, słaby podpis.
Odnawianie certyfikatu. Właśnie wdrożyłeś nowy cert Let's Encrypt / DigiCert. Sprawdź, czy łańcuch jest kompletny i czy okno ważności zaczyna się teraz.
Audyt serwera pocztowego. Sprawdź SMTPS (465), IMAPS (993), Submission (587) - klienci pocztowi są bardziej rygorystyczni od przeglądarek przy łańcuchu.
Usługi wewnętrzne. admin.twojadomena.pl:8443, vpn.twojadomena.pl:443, api.twojadomena.pl. Potwierdź, że żadnemu nie kończy się ważność za parę dni.
Kontrola dostawcy / strony trzeciej. Zanim podłączysz API partnera, rzuć okiem na ich cert: zaufany wystawca, poprawny SAN, brak SHA-1.
Migracja. Przeniosłeś stronę na nowy hosting. Potwierdź, że nowy serwer serwuje właściwy cert (nie stary, nie domyślny cert hostingu). Przy okazji puść jeszcze sprawdzanie DNS i sprawdź właściciela domeny w WHOIS. Świeży CSR przed odnowieniem przygotuje generator CSR.

Pytania i odpowiedzi

Sprawdzanie certyfikatu SSL

Co pokazuje sprawdzanie certyfikatu SSL?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Hashe hasła: MD5, SHA, bcrypt

Generator sekretu TOTP 2FA

Sprawdzanie certyfikatu SSL

Co pokazuje sprawdzanie certyfikatu SSL?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Dekoder JWT

Hashe hasła: MD5, SHA, bcrypt

Generator sekretu TOTP 2FA