SSL-Zertifikatsprüfer (Ablaufdatum & Aussteller)

Domain eingeben und Ablaufdatum, Aussteller, SAN und Fingerabdruck des SSL/TLS-Zertifikats prüfen. Die verbleibenden Tage werden farblich hervorgehoben, damit eine Verlängerung nie übersehen wird.

Tipps

  • Prüfen Sie das Ablaufdatum rechtzeitig. Eine Erneuerung 2-4 Wochen vor Ablauf schafft einen Puffer, falls beim Erneuerungsprozess Probleme auftreten.
  • Kostenlose Zertifikate von Let's Encrypt und ähnlichen CAs gelten nur 90 Tage, daher lohnt es sich, hier regelmäßig zu prüfen, ob die automatische Erneuerung tatsächlich funktioniert.
  • Das Schloss-Symbol im Browser zeigt nur, ob ein Zertifikat aktuell gültig ist – wie viele Tage noch bleiben, sieht man dort nie. Genau diese Lücke füllt dieses Tool.
  • Das SAN-Feld (alternative Subjektnamen) kann neben der Hauptdomain weitere Hostnamen enthalten, etwa eine www-Subdomain. Es lohnt sich zu prüfen, ob keine unerwarteten Domains enthalten sind.
  • Der Fingerabdruck identifiziert ein Zertifikat eindeutig. Ein Vergleich der Fingerabdrücke vor und nach einer Erneuerung ist eine zuverlässige Methode, um zu bestätigen, dass der Austausch tatsächlich stattgefunden hat.

Häufig gestellte Fragen

Das hängt von der Zertifizierungsstelle und dem Zertifikatstyp ab. Kostenlose Zertifikate wie von Let's Encrypt gelten nur 90 Tage, während kommerzielle, kostenpflichtige Zertifikate nach der aktuellen Richtlinie des CA/Browser Forums maximal ein Jahr (398 Tage) gültig sind. Die maximale Gültigkeitsdauer wird branchenweit seit Jahren immer weiter verkürzt.

Browser zeigen eine Warnung wie „Ihre Verbindung ist nicht privat“ an, woraufhin die meisten Besucher die Seite sofort verlassen. Auch API-Integrationen und Zahlungsabwicklungen scheitern dann mit Verbindungsfehlern – daher ist eine rechtzeitige Erneuerung entscheidend.

Es handelt sich um ein Erweiterungsfeld, mit dem ein einzelnes Zertifikat mehrere Domainnamen oder Subdomains abdecken kann. Ein Zertifikat für example.com und www.example.com würde beide Namen im SAN-Feld auflisten.

Ein selbstsigniertes Zertifikat wird vom Website-Betreiber selbst ausgestellt, ohne eine externe Zertifizierungsstelle einzubeziehen. Browser vertrauen ihm daher nicht und zeigen eine Warnung an. Wenn der von diesem Tool angezeigte „Aussteller“ eine echte Zertifizierungsstelle ist, wurde das Zertifikat von einer anerkannten dritten Partei geprüft.

Kostenlose Zertifikate von Let's Encrypt und ähnlichen CAs bieten dieselbe Verschlüsselungsstärke wie kostenpflichtige. Die Unterschiede liegen hauptsächlich im Grad der Domain-Validierung (DV/OV/EV) und im verfügbaren Support – bei der Verschlüsselungssicherheit gibt es keinen wesentlichen Unterschied zwischen kostenlos und kostenpflichtig.
ツールくん

Übrigens – Eine kurze Geschichte von SSL/TLS-Zertifikaten und Zertifizierungsstellen

Die HTTPS-Verbindungen, die wir täglich nutzen, gehen auf SSL (Secure Sockets Layer) zurück, das 1994 von Netscape entwickelt wurde. Die frühe Version SSL 2.0 hatte gravierende Sicherheitslücken, und nach SSL 3.0 wurde das Protokoll 1999 als TLS (Transport Layer Security) 1.0 standardisiert. Der Name änderte sich, aber das Grundprinzip – die Verschlüsselung des Datenverkehrs mittels zertifikatsbasierter Public-Key-Kryptografie – ist bis heute erhalten geblieben.

Zertifizierungsstellen (CAs) prüfen, ob ein Antragsteller eine Domain tatsächlich kontrolliert, bevor sie ein signiertes Zertifikat ausstellen. Früher war die Beschaffung eines Zertifikats mit Kosten und Aufwand verbunden, doch das änderte sich grundlegend, als die gemeinnützige Organisation ISRG 2016 mit Let's Encrypt eine kostenlose Zertifizierungsstelle einführte. Deren Zertifikate sind allerdings nur 90 Tage gültig, was in der Praxis automatisierte Erneuerungswerkzeuge wie certbot für jeden produktiven Einsatz erforderlich macht.

Ein abgelaufenes Zertifikat bleibt nicht nur eine beängstigende Browser-Warnung – es kann zu einem ernsthaften Ausfall führen. Es gab wiederholt öffentlich bekannt gewordene Fälle, in denen große API-Dienste und sogar bedeutende Finanzinstitute stundenlang ausfielen, weil eine Zertifikatserneuerung vergessen wurde. Das zeigt, dass fortlaufende Überwachung eine dauerhafte betriebliche Notwendigkeit ist und keine einmalige Aufgabe.