CertWatch
← Tous les outils SSL gratuits

Examiner un certificat SSL en détail

Au-delà du simple « valide / invalide » : inspectez toutes les métadonnées d'un certificat SSL — émetteur, sujet (CN), empreinte SHA-256, chaîne de confiance — directement dans votre navigateur.

  • Émetteur (CA) et sujet (CN) du certificat
  • Empreinte SHA-256 pour la vérification d'identité
  • État de la chaîne de certification jusqu'à la racine
  • Idéal pour audit technique et debugging SSL
https://

Gratuit, sans inscription. Limite de 10 vérifications par minute.

Que contient un certificat SSL ?

Un certificat SSL/TLS au format X.509 est bien plus qu'un simple cadenas. C'est un document signé numériquement qui contient une dizaine de champs critiques, chacun ayant un rôle précis dans la confiance que votre navigateur accordera au site.

  • Subject (CN) — l'identité protégée par le certificat. Typiquement le domaine (exemple.com ou *.exemple.com pour un wildcard).
  • Issuer (CA) — l'autorité de certification qui a émis le certificat. C'est elle qui garantit l'authenticité par sa signature.
  • Validity period — les dates de début et de fin de validité. Hors de cette fenêtre, le certificat est rejeté.
  • Public key — la clé publique du serveur, utilisée pour établir la session chiffrée.
  • Fingerprint — l'empreinte cryptographique (SHA-256) du certificat. Unique et infalsifiable.
  • Signature — la signature de la CA, qui prouve que ce certificat n'a pas été altéré.

Comprendre la chaîne de certification

Un certificat n'est jamais utilisé seul : il fait partie d'une chaîne de confiance qui remonte du certificat de votre site jusqu'à une racine (root CA) pré-installée dans tous les navigateurs et systèmes d'exploitation. Entre les deux, on trouve souvent un ou deux certificats intermédiaires.

Si un maillon de la chaîne est manquant — typiquement les intermédiaires que votre serveur doit envoyer en plus du certificat final — certains clients ne pourront pas remonter jusqu'à la racine et rejetteront le site. C'est le piège classique : « ça marche sur mon Mac mais pas sur le téléphone Android du client ».

Notre outil indique explicitement si la chaîne se vérifie correctement, ce qui vous évite ce type de bug subtil.

À quoi sert l'empreinte SHA-256 ?

L'empreinte (fingerprint) SHA-256 est une signature unique de 64 caractères qui identifie un certificat de manière infalsifiable. Deux certificats différents auront forcément deux empreintes différentes — même s'ils sont émis pour le même domaine.

Cas d'usage concrets : détecter un changement de certificat (renouvellement effectué ou attaque MITM), épingler un certificat dans une application mobile (certificate pinning), ou comparer ce qui est servi en production avec ce que vous avez déployé.

Questions fréquentes

Quelle différence entre l'émetteur et le sujet d'un certificat ?+

Le sujet (Subject CN) est l'entité protégée — typiquement votre domaine. L'émetteur (Issuer) est l'autorité de certification qui a signé le certificat (Let's Encrypt, Sectigo, DigiCert…). Pour un certificat racine auto-signé, sujet et émetteur sont identiques.

Comment savoir quel type de certificat j'ai (DV, OV, EV) ?+

Les certificats DV (Domain Validation) ne contiennent que le domaine. Les OV (Organization Validation) ajoutent les coordonnées de l'organisation. Les EV (Extended Validation) incluent une validation juridique poussée. Le nom de l'émetteur et les détails du sujet permettent généralement de les distinguer.

Pourquoi mon empreinte change-t-elle à chaque renouvellement ?+

C'est normal : chaque émission produit un nouveau certificat distinct, avec sa propre paire de clés et donc sa propre empreinte. Si vous faites du certificate pinning, pensez à mettre à jour les empreintes pinned à chaque renouvellement.

Mon certificat est valide mais la chaîne est « non vérifiée », que faire ?+

Le serveur ne transmet probablement pas les certificats intermédiaires. Sur nginx : concaténez votre certificat avec la chaîne intermédiaire fournie par la CA dans un seul fichier .pem. Sur Apache : utilisez SSLCertificateChainFile (ou un bundle complet). Let's Encrypt fournit automatiquement le fullchain.pem.

Peut-on extraire le contenu complet du certificat (PEM) ?+

Cet outil affiche les métadonnées essentielles. Pour le contenu PEM brut, utilisez la ligne de commande : openssl s_client -connect exemple.com:443 -servername exemple.com < /dev/null | openssl x509 -text

Et si vous n'aviez plus jamais à le faire à la main ?

CertWatch vérifie chaque jour tous vos domaines clients et vous alerte 30, 15, 7 et 1 jour avant chaque expiration. Mise en place en 2 minutes.

Surveiller mes domaines gratuitement

Autres outils SSL gratuits

Examiner un certificat SSL — Détails techniques en ligne | CertWatch