TLS-Cert-Chain-Validator

Nach RFC 5280 + RFC 6962

PEM-Paste (rein lokal) ODER STARTTLS-Probe gegen Port 25/465/587/143/993/443. Zeigt SAN/Validity/Key-Stärke/SCTs und erkennt Chain-Order-Fehler.

Was ist das, und wann brauche ich es?

Was ist das?

Parst und validiert eine X.509-Zertifikatskette. Zwei Modi: Probe öffnet eine echte TCP-Verbindung zu host:port und greift die Chain per STARTTLS (SMTP/IMAP) oder direktem TLS (HTTPS/SMTPS/IMAPS/DoT); PEM einfügen läuft komplett in Ihrem Browser. Das Werkzeug zeigt pro Cert Subject/Issuer/Validity/SAN/Key/Sig-Algo/SCTs und meldet Chain-Order-Fehler (nginx-typisch: Intermediate in falscher Reihenfolge gesendet), abgelaufene Intermediates, schwache Keys (RSA < 2048, SHA-1), fehlende SCTs (Chrome lehnt ab) und EE-als-CA-Fehlkonfiguration.

Wann brauche ich das?

Vor einer Cert-Rotation, beim Aufklären von „Java-Client lehnt ab, Browser akzeptiert"- Problemen, beim Untersuchen von Chrome's „NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED" oder als schneller SOC-Forensik-Check zu einem Cert, das Ihnen gerade per Mail zugeschickt wurde.

Server-Pfad: Im Probe-Modus läuft dieses Werkzeug NICHT browser-lokal. Wir öffnen eine echte TCP-Verbindung zum Ziel-Host:Port und verhandeln TLS bzw. STARTTLS, um die Cert-Chain zu greifen. Wir loggen weder Host noch Ergebnis. Maximal 12 Anfragen pro Minute.

25 / 587 = SMTP STARTTLS, 465 = SMTPS direkt, 143 = IMAP STARTTLS, 993 = IMAPS direkt, 443 = HTTPS direkt, 853 = DoT direkt. Protokoll wird aus dem Port abgeleitet, kann aber überschrieben werden.

Probieren: · · ·