Szczegółowa dekompozycja ASN.1 — wszystkie pola, rozszerzenia.
Certyfikat SSL w formacie PEM wygląda na pierwszy rzut oka jak bezsensowny ciąg znaków Base64. Za tą "zaszyfrowaną" zawartością kryją się jednak dokładne, strukturalne dane zgodne ze standardem X.509 — daty ważności, pola Subject, rozszerzenia (extensions), podpisy kryptograficzne. Nasz dekoder pokazuje wszystkie te informacje w czytelnej formie — zarówno podstawy, jak i zaawansowane rozszerzenia X.509, które rzadko widuje się w prostych narzędziach.
Błędne łańcuchy CA, niekompatybilne Key Usage, brak Extended Key Usage — wszystko widoczne w rozszerzeniach.
Sprawdź punkty CRL/OCSP, AIA, Certificate Transparency SCT i inne zabezpieczenia.
Biegły, audytor IT lub zespół compliance — otrzymuje pełną, surową zawartość do oceny zgodności.
Uczysz się struktury certyfikatów X.509? Dekoder pokazuje OID-y, rozszerzenia critical/non-critical i wartości.
Rozszerzenia (extensions) to dodatkowe atrybuty certyfikatu, które definiują jak można go używać i jak jest identyfikowany w łańcuchu zaufania.
Definiuje operacje, do których można użyć klucza publicznego w certyfikacie. Typowe wartości to: digitalSignature (podpisywanie), keyEncipherment (szyfrowanie kluczem RSA), keyAgreement (uzgadnianie kluczy ECDH).
Dla SSL/TLS potrzebujesz co najmniej digitalSignature. Dla klucza RSA dodatkowo keyEncipherment. Dla ECDSA wystarczy digitalSignature.
Rozszerzone przeznaczenie certyfikatu. Dla serwera SSL to serverAuth (1.3.6.1.5.5.7.3.1). Dla podpisywania kodu (Code Signing) — codeSigning. Dla podpisu e-mail (S/MIME) — emailProtection.
Jeśli certyfikat do SSL nie ma serverAuth w EKU, przeglądarka nie pozwoli go użyć do HTTPS. To jeden z częstych powodów odrzucania certyfikatów.
Wskazuje, czy certyfikat może wydawać inne certyfikaty (jest CA) czy to zwykły end-entity. Wartość CA:TRUE oznacza certyfikat urzędu certyfikacji (Root CA lub Intermediate CA). CA:FALSE — zwykły certyfikat serwera/klienta.
Pole pathLenConstraint ogranicza głębokość łańcucha — np. pathLen=0 oznacza że ten CA może wystawiać tylko end-entity, nie może wystawiać innych CA.
URL-e, pod którymi przeglądarka może znaleźć certyfikat wystawcy (Issuer Certificate) oraz serwer OCSP do sprawdzania odwołań. Bez AIA przeglądarka może nie być w stanie zbudować pełnego łańcucha zaufania — zwłaszcza jeśli na serwerze brakuje intermediate cert.
Jeśli widzisz w AIA adres typu http://ocsp.certum.pl, to tam przeglądarka zapyta o status odwołania w czasie rzeczywistym.
URL-e, pod którymi CA publikuje Certificate Revocation List (CRL) — listę odwołanych certyfikatów. Jeśli certyfikat jest na tej liście, przeglądarka uzna go za nieważny, nawet jeśli jeszcze nie wygasł. CRL to historyczny mechanizm, powoli zastępowany przez OCSP (w AIA).
Niektóre CA (np. Let's Encrypt) w ogóle nie publikują CRL, polegając wyłącznie na OCSP i krótkich okresach ważności (90 dni).
Sprawdź certyfikat to widok "dla użytkownika" — pokazuje najważniejsze informacje (daty, domena, wystawca). Dekoduj dodaje pełną listę rozszerzeń X.509 z ich OID-ami, flagą critical/non-critical i surową wartością — to widok "dla technika". Jeśli debugujesz problem z chain trust, nieprawidłowym EKU albo brakiem OCSP — zacznij od dekodera.
Rozszerzenie oznaczone jako critical musi być zrozumiane przez oprogramowanie klienta, inaczej certyfikat jest odrzucony. Non-critical może być zignorowane, jeśli klient nie zna danego OID. Key Usage i Basic Constraints są zwykle critical — to zabezpieczenie, żeby stare oprogramowanie nie ignorowało ważnych ograniczeń certyfikatu.
OID (Object Identifier) to globalnie unikalny identyfikator, np. 2.5.29.17 dla Subject Alternative Name lub 1.3.6.1.5.5.7.3.1 dla serverAuth EKU. OIDy są przydzielane hierarchicznie przez organizacje standaryzacyjne (IANA, ISO, ITU) i pozwalają jednoznacznie identyfikować rozszerzenia niezależnie od języka czy implementacji.
SKI to skrót klucza publicznego właściciela certyfikatu (hash SHA-1). AKI to SKI certyfikatu wystawcy (CA). Klient SSL używa AKI, żeby zbudować łańcuch zaufania — szuka CA, którego SKI == AKI certyfikatu końcowego. Jeśli tych pól brakuje lub są błędne, przeglądarka może mieć problem z weryfikacją trust chain.
Certificate Transparency (CT) to otwarty, publiczny rejestr wszystkich wystawionych certyfikatów SSL. CA mają obowiązek zgłaszać do niego każdy wydany certyfikat. SCT (Signed Certificate Timestamp) to cyfrowy dowód, że certyfikat został zgłoszony do logu CT. Chrome od 2018 roku wymaga obecności SCT — jego brak oznacza błąd w przeglądarce. To zabezpieczenie przed fałszowaniem certyfikatów przez skompromitowane CA.
To funkcje skrótu używane do podpisu cyfrowego certyfikatu. SHA-1 jest od 2017 roku oficjalnie niebezpieczny (udowodnione kolizje) — wszystkie CA musiały przestawić się na SHA-256. Jeśli widzisz certyfikat z SHA-1, jest albo bardzo stary, albo self-signed. Standard to SHA-256 (a dla wysokich wymagań SHA-384).
Certyfikat publiczny (bez klucza prywatnego) nie zawiera danych wrażliwych. Tym niemniej nasz dekoder:
openssl x509 -in cert.pem -text -noout daje to samo.Niezbędne cookies są zawsze włączone. Dodatkowo używamy cookies analitycznych (Google Analytics) i marketingowych — ale tylko za Twoją zgodą. Szczegóły w Polityce cookies.