Home/ Glossar/ SSL-Zertifikats-Checker
Security

SSL-Zertifikats-Checker

Der SSL-Zertifikat-Checker analysiert das TLS/SSL-Zertifikat einer Domain und liefert detaillierte Informationen über Gültigkeitszeitraum, ausstellende Zertifizierungsstelle (CA), Signaturalgorithmus, Subject Alternative Names (SANs), Zertifikatskette und verwendete Verschlüsselungsparameter. Das Tool eignet sich für Entwickler und Systemadministratoren, die Zertifikate überwachen, Fehlkonfigurationen erkennen oder die Sicherheitskonformität ihrer Server prüfen möchten.

Was enthält ein SSL/TLS-Zertifikat?

Ein X.509-Zertifikat (der Industriestandard für TLS-Zertifikate) enthält: den Common Name (CN) und Subject Alternative Names (SANs) mit den abgedeckten Domains, den Distinguished Name des Ausstellers (Issuer, z. B. 'Let's Encrypt R3'), die Gültigkeitsdauer (Not Before / Not After), den öffentlichen Schlüssel und dessen Algorithmus (z. B. RSA-2048 oder ECDSA P-256), die Seriennummer und den Fingerprint (SHA-1 und SHA-256 des Zertifikats), den Signaturalgorithmus (z. B. SHA256withRSA) sowie optionale Erweiterungen wie OCSP-URL, CRL-Distributionspunkte und Certificate Transparency (CT) Logs.

Was prüft das Tool?

Das Tool baut eine TLS-Verbindung zur eingegebenen Domain auf, liest das Serverzertifikat und die gesamte Zertifikatskette aus und analysiert alle relevanten Felder. Es zeigt die verbleibende Gültigkeitsdauer, markiert abgelaufene oder bald ablaufende Zertifikate (unter 30 Tage), prüft ob der Hostname im Zertifikat enthalten ist (Hostname-Validierung), analysiert den Signaturalgorithmus auf veraltete Methoden (MD5, SHA-1) und listet alle Subject Alternative Names auf. Fehler in der Zertifikatskette (fehlende Intermediate-Zertifikate) werden ebenfalls erkannt und gemeldet.

Typische Anwendungsfälle

  • Überwachen der Zertifikatsgültigkeit eigener Domains vor dem Ablaufdatum
  • Prüfen ob ein neu ausgestelltes Zertifikat korrekt installiert und die Kette vollständig ist
  • Erkennen veralteter Signaturalgorithmen (SHA-1, MD5) oder schwacher Schlüssellängen
  • Analysieren von Subject Alternative Names (SANs) und Wildcard-Abdeckungen

Schritt-für-Schritt-Anleitung

  1. Schritt 1: Domain-Name eingeben (z. B. example.com oder sub.example.com)
  2. Schritt 2: Optional den Port angeben (Standard: 443; für Mail-Server z. B. 993, 465)
  3. Schritt 3: 'Prüfen' klicken – das Tool baut eine TLS-Verbindung auf und liest das Zertifikat
  4. Schritt 4: Gültigkeitsdauer, Aussteller, SANs und Kettenvalidierung im Ergebnis analysieren

Beispiel

Eingabe
Domain: example.com, Port: 443
Ausgabe
Gültig bis: 2025-12-31 (noch 254 Tage), Aussteller: Let's Encrypt R11, SANs: example.com, www.example.com, Algorithmus: SHA256withECDSA (P-256)

Tipps & Hinweise

  • Tipp: Richte automatische Zertifikatsüberwachung ein und lass dich 30, 14 und 7 Tage vor Ablauf benachrichtigen – abgelaufene Zertifikate führen zu Browser-Warnungen und Vertrauensverlust.
  • Tipp: Prüfe nicht nur Port 443, sondern auch alle weiteren TLS-Dienste deiner Server (SMTP 465/587, IMAP 993, POP3 995, LDAPS 636).
  • Tipp: Ein vollständiger Zertifikats-Chain-Upload auf dem Server (inklusive Intermediate-Zertifikat) ist entscheidend – fehlende Intermediates führen bei manchen Clients zu Verbindungsfehlern.

Häufige Fragen

Was ist der Unterschied zwischen SHA-1 und SHA-256 bei SSL-Zertifikaten?
SHA-1 als Signaturalgorithmus für Zertifikate gilt seit 2017 als unsicher und wird von allen modernen Browsern abgelehnt. SHA-256 (Teil der SHA-2-Familie) ist der aktuelle Standard. Neue Zertifikate werden ausschließlich mit SHA-256 oder stärker ausgestellt. Stößt das Tool auf ein SHA-1-signiertes Zertifikat, wird dies als kritischer Fehler markiert.
Was bedeutet 'Self-signed Certificate'?
Ein selbstsigniertes Zertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt, sondern vom eigenen Server selbst erzeugt. Browser vertrauen solchen Zertifikaten nicht und zeigen Sicherheitswarnungen an. Selbstsignierte Zertifikate sind nur für interne Systeme und Entwicklungsumgebungen geeignet. Für produktive Webserver sollte ein Zertifikat von einer anerkannten CA (z. B. Let's Encrypt, DigiCert) verwendet werden.
Was sind Subject Alternative Names (SANs)?
SANs (Subject Alternative Names) sind zusätzliche Domains oder IP-Adressen, für die ein Zertifikat Gültigkeit besitzt. Moderne Browser ignorieren den Common Name (CN) für die Hostname-Validierung und prüfen ausschließlich die SANs. Ein Wildcard-Zertifikat (*.example.com) deckt alle unmittelbaren Subdomains ab, aber nicht tiefere Ebenen (nicht sub.sub.example.com).
SSL-Zertifikats-Checker
Analysiert SSL/TLS-Zertifikate: Gültigkeitsdauer, Aussteller, Verschlüsselung und mehr.
Tool öffnen
Ähnliche Tools
RSA-Schlüsselpaar-Generator
Hash Text
Website-Status
Redirect Checker
DNS-Abfrage
SSL-Zertifikats-Checker