TLS Certificate Checker

Проверьте TLS/SSL-сертификат сайта: субъект/издатель, сроки действия, SAN, полноту цепочки и типичные ошибки конфигурации HTTPS. При необходимости следуйте редиректам, чтобы убедиться, что конечный пункт назначения использует HTTPS с валидным сертификатом. Экспортируйте отчеты в форматах JSON/PDF.

Loading…

О сервисе Проверка TLS-сертификатов

Когда HTTPS ломается, пользователи видят пугающие предупреждения, а боты перестают доверять вашему сайту. Этот инструмент получает URL, при необходимости следует редиректам и проверяет TLS-сертификат, защищающий конечную HTTPS-точку. Он помогает выявить истекающие сертификаты, неполные цепочки, несоответствия имени хоста/SAN и другие проблемы, которые часто вызывают ошибки в браузерах и проблемы с SEO/доступностью.

Возможности

  • Проверка субъекта и издателя сертификата (для кого выдан, кем выдан).
  • Проверка дат: notBefore / notAfter и предупреждение о скором истечении срока.
  • Проверка SAN (Subject Alternative Names) и покрытия имени хоста (www против apex, поддомены).
  • Выявление проблем с цепочкой сертификатов (отсутствующие промежуточные звенья / неполная цепочка).
  • Опциональное следование редиректам для проверки принудительного использования HTTPS на конечном URL.
  • Выявление типичных проблем с HTTPS (неправильный хост, неправильный сертификат, смешанные потоки редиректов).
  • Удобные для копирования результаты и выводы для инцидентных тикетов.
  • Скачивание отчетов в форматах JSON и PDF для документирования и регрессионных проверок.

🧭 Как использовать for tls-certificate-checker

1

Вставьте URL для проверки

Введите целевой URL. Вы можете вставить https://example.com или даже http://example.com, если хотите убедиться, что он в итоге переходит на HTTPS.

2

Включите «Следовать редиректам» для реалистичного поведения

Если вы хотите проверить фактический пункт назначения, который достигают пользователи и краулеры (http→https, non-www→www), оставьте опцию «Следовать редиректам» включенной.

3

Запустите проверку и просмотрите сводку

Проверьте ключевые пункты: сроки действия, соответствие имени хоста/SAN и полноту цепочки.

4

Изучите выводы и устраните первопричину

Если вы видите предупреждения (скоро истекает, несоответствие, неполная цепочка), устраните их на уровне TLS-терминации (CDN, обратный прокси, балансировщик нагрузки или веб-сервер).

5

Экспортируйте JSON/PDF для отслеживания

Скачайте отчет, чтобы прикрепить к тикетам Ops/SEO или сохранить снимок «до/после».

Технические характеристики

Ввод данных и работа

Этот инструмент проверяет URL и анализирует TLS-сертификат для разрешенной HTTPS-конечной точки.

ВозможностьДетали
Поддерживаемые формы URLHTTP или HTTPS URL (можно включить следование редиректам).
Обработка редиректовОпционально; при включении следует редиректам вплоть до настроенного максимума.
Фокус на TLSПроверяет свойства сертификата и распространённые ошибки конфигурации.

Значения по умолчанию и ограничения

Настройки получения и безопасности настроены для предсказуемого поведения.

НастройкаЗначение
Следовать редиректамВключено
Макс. редиректов10
Таймаут15000 мс
User-AgentEncode64Bot/1.0 (+https://encode64.com)
Частные сетиНе разрешено

Что проверяется

Проверки сосредоточены на наиболее частых проблемах в продакшене: истечение срока действия, несоответствие имени хоста (SAN) и полнота цепочки. Следование редиректам помогает выявить случаи, когда HTTPS действителен только на конечном каноническом хосте.

Действительный сертификат необходим, но недостаточен для сильной безопасности. Дополните это аудитом HSTS и заголовков безопасности для усиленных развёртываний.

Командная строка

Используйте OpenSSL и curl для проверки деталей сертификата из своего терминала и сравнения с отчётом инструмента.

macOS / Linux

Показать цепочку сертификатов (SNI) для хоста

echo | openssl s_client -servername example.com -connect example.com:443 -showcerts 2>/dev/null

Полезно для проверки основного сертификата и промежуточной цепочки.

Быстро извлечь дату истечения

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -dates

Выводит notBefore / notAfter.

Список SAN

echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -text | grep -A1 "Subject Alternative Name"

Показывает, какие имена хостов покрывает сертификат.

Проверить HTTP редиректы на HTTPS

curl -I http://example.com

Проверяет заголовок Location и конечную схему.

Следовать редиректам и показать конечный URL

curl -IL http://example.com | sed -n '1,120p'

Помогает обнаруживать цепочки перенаправлений и неканонические конечные точки.

Всегда используйте -servername с openssl s_client на серверах с виртуальным хостингом/CDN. Без SNI можно получить неправильный сертификат.

Сценарии использования

Предотвращение сбоев из-за истечения срока действия сертификатов

Выявляйте сертификаты с истекающим сроком действия, чтобы обновить их до того, как пользователи и боты столкнутся с ошибками в браузере.

  • Еженедельные проверки состояния сертификатов
  • Аудит доменов после изменений DNS или CDN

Исправление проблем с неполной цепочкой сертификатов

Обнаруживайте отсутствующие промежуточные сертификаты (частая проблема в пользовательских настройках серверов), которые нарушают работу старых клиентов и некоторых краулеров.

  • Неправильно настроенный цепочный бандл Nginx/Apache
  • Балансировщик нагрузки без промежуточных сертификатов

Отладка несоответствия имени хоста/SAN (www против apex)

Подтвердите, что сертификат покрывает точное имя хоста, к которому обращаются пользователи, включая www/не-www и поддомены.

  • Apex работает, но www — нет
  • API поддомен отсутствует в списке SAN

Проверка принудительного HTTPS через редиректы

Убедитесь, что HTTP URL перенаправляют на каноническую HTTPS конечную точку с действительным сертификатом.

  • http→https с 301
  • канонизация non-www→www

❓ Frequently Asked Questions

Почему браузер может говорить «сертификату не доверяют», даже если HTTPS включен?

Распространенные причины: истекший срок действия сертификата, неполная цепочка (отсутствует промежуточный сертификат), несоответствие имени хоста (SAN не включает хост) или выдача неправильного сертификата из-за ошибки конфигурации SNI/виртуального хостинга.

Что такое SAN и почему они важны?

SAN (Subject Alternative Names) — это имена хостов, для которых действителен сертификат. Если к вашему сайту обращаются через example.com и www.example.com, сертификат должен покрывать оба (или вы должны последовательно перенаправлять на покрываемый хост).

Нормально ли, что http перенаправляет на https?

Да — это рекомендуется. Просто убедитесь, что конечный HTTPS-адрес предоставляет действительный сертификат, а цепочка перенаправлений короткая и последовательная (предпочтительнее 301 для канонических редиректов).

Проверяет ли этот инструмент версии TLS/шифры?

Этот инструмент ориентирован на проверку сертификатов и распространенных ошибок конфигурации. Для усиления протокола/шифров (TLS 1.2/1.3, слабые шифры) используйте специализированный сканер конфигурации TLS.

В чем разница между листовым, промежуточным и корневым сертификатами?

Листовой сертификат — это сертификат вашего сайта. Промежуточные связывают его с доверенным корневым ЦС. Браузеры доверяют корневым сертификатам, поэтому отсутствие промежуточных может помешать построению действительной цепочки доверия.

Pro Tips

Best Practice

Обновляйте сертификаты заранее и автоматизируйте обновления (ACME) везде, где это возможно.

Best Practice

Убедитесь, что SAN покрывают каждое публичное имя хоста, которое вы обслуживаете (www, apex, API поддомены), или принудительно используйте одно каноническое имя хоста через редиректы.

Best Practice

Всегда предоставляйте полную цепочку (конечный + промежуточные сертификаты). Многие сбои происходят из-за неполных наборов цепочек после миграций.

Best Practice

Если вы включаете редиректы, делайте их минимальными: один переход на канонический https URL является идеальным.

Best Practice

Сочетайте действительный TLS с HSTS и заголовками безопасности для более сильной реальной защиты.

Additional Resources

Документация OpenSSL s_client
Documentation
RFC 5280: Профиль сертификатов и CRL инфраструктуры открытых ключей X.509 в Интернете
Documentation
Let's Encrypt: Основы сертификатов
Documentation

Other Tools