Was ist das?
Parst und validiert eine X.509-Zertifikatskette. Zwei Modi: Probe öffnet eine echte TCP-Verbindung zu host:port und greift die Chain per STARTTLS (SMTP/IMAP) oder direktem TLS (HTTPS/SMTPS/IMAPS/DoT); PEM einfügen läuft komplett in Ihrem Browser. Das Werkzeug zeigt pro Cert Subject/Issuer/Validity/SAN/Key/Sig-Algo/SCTs und meldet Chain-Order-Fehler (nginx-typisch: Intermediate in falscher Reihenfolge gesendet), abgelaufene Intermediates, schwache Keys (RSA < 2048, SHA-1), fehlende SCTs (Chrome lehnt ab) und EE-als-CA-Fehlkonfiguration.
Wann brauche ich das?
Vor einer Cert-Rotation, beim Aufklären von „Java-Client lehnt ab, Browser akzeptiert"- Problemen, beim Untersuchen von Chrome's „NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED" oder als schneller SOC-Forensik-Check zu einem Cert, das Ihnen gerade per Mail zugeschickt wurde.