Netzwerk-Diagnose-Tools

SSL-Zertifikat-Prüfung

TLS-Zertifikat und Ablauf einer Website untersuchen

esc
Ihre IP 8.8.8.8 oder google.com

DNS & Einträge

DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNS

E-Mail-Zustellbarkeit

SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-Berichtsrichtlinie

Netzwerk & Web

SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sind

Domain

WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNs

Was ist ein SSL-Zertifikat?

Das TLS-Zertifikat einer Website belegt ihre Identität und verschlüsselt den Datenverkehr zwischen Browser und Server. Ein abgelaufenes, selbstsigniertes oder nicht passendes Zertifikat zerstört das Vertrauen und löst Browser-Warnungen aus, die Besucher vertreiben. IPeek verbindet sich direkt mit dem Host, liest das Live-Zertifikat und meldet Aussteller, Gültigkeitszeitraum, verbleibende Tage, die abgedeckten Namen und alle gefundenen Probleme.

So belegt ein TLS-Zertifikat die Identität

Während des TLS-Handshakes präsentiert der Server ein von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiertes Zertifikat. Der Browser prüft, ob der Name des Zertifikats mit dem Hostnamen übereinstimmt, ob die Signaturkette zu einer ihm vertrauenswürdigen Wurzel führt und ob das aktuelle Datum innerhalb des Gültigkeitszeitraums liegt. Bestehen alle drei Prüfungen, ist die Verbindung verschlüsselt und das Schloss-Symbol erscheint. „SSL“ ist der geläufige Name, den viele noch verwenden, doch das eigentliche Protokoll ist seit Jahren TLS. IPeek führt denselben Handshake aus und meldet, was der Server zurückgab, statt nur ein Schloss anzuzeigen.

So lesen Sie Ihre Zertifikatsergebnisse

Beginnen Sie mit den verbleibenden Tagen: Alles unter 30 bedeutet baldige Erneuerung, und ein negativer Wert bedeutet, dass das Zertifikat bereits abgelaufen ist und Besucher schon jetzt Warnungen sehen. Prüfen Sie den Aussteller, um zu bestätigen, dass es eine echte CA ist und kein selbstsignierter Platzhalter. Die Liste der Subject Alternative Names (SAN) zeigt jeden Hostnamen, den das Zertifikat abdeckt – ein Zertifikat für example.com, das www.example.com auslässt, schlägt bei dieser Variante fehl. Bestätigen Sie schließlich, dass die Kette vollständig ist; ein fehlendes Zwischenzertifikat validiert in einigen Clients, bricht aber in anderen.

Häufige Zertifikatsprobleme und ihre Behebung

Der häufigste Fehler ist schlichtes Ablaufen, behoben durch Erneuern und Neuladen des Webservers. Eine Namensabweichung bedeutet, dass der Hostname nicht in der SAN-Liste steht – stellen Sie das Zertifikat mit den korrekten Namen neu aus oder fügen Sie ein Wildcard hinzu. Fehler wie „selbstsigniert“ oder „nicht vertrauenswürdiger Aussteller“ bedeuten, dass die Zertifikatskette keine vertrauenswürdige Wurzel erreicht, meist weil das Zwischenzertifikat nicht zusammen mit dem Leaf installiert wurde. Prüfen Sie nach jeder Behebung erneut mit IPeek, ob das ausgelieferte Live-Zertifikat dem Beabsichtigten entspricht, da veraltete Zertifikate oft in Load Balancern und CDNs verbleiben.

Wann Sie eine SSL-Zertifikatsprüfung benötigen

Führen Sie eine Prüfung vor dem Launch durch sowie immer, wenn Sie das Hosting migrieren, das CDN wechseln oder Zertifikate rotieren – das sind die Momente, in denen Abweichungen und fehlende Ketten auftreten. Setzen Sie sich vor dem Ablaufdatum eine Erinnerung, besonders bei Zertifikaten ohne automatische Erneuerung. Es ist außerdem der schnellste Weg, um eine vom Besucher gemeldete Browser-Sicherheitswarnung zu diagnostizieren: Die Prüfung zeigt sofort, ob das Problem Ablauf, eine Namensabweichung oder eine gebrochene Kette ist, sodass Sie handeln können, statt zu raten.

Häufig gestellte Fragen

Was ist der Unterschied zwischen SSL und TLS?

Sie bezeichnen dieselbe Aufgabe, aber TLS ist das aktuelle Protokoll. SSL war der ursprüngliche Verschlüsselungsstandard; es wurde durch TLS abgelöst, und jedes moderne „SSL-Zertifikat“ nutzt tatsächlich TLS. Der Name SSL blieb haften, weil er vertraut ist – Tools und Anbieter sprechen weiterhin von SSL, während die Verbindung selbst TLS 1.2 oder 1.3 aushandelt.

Woran erkenne ich, wann mein SSL-Zertifikat abläuft?

Prüfen Sie den Gültigkeitszeitraum des Zertifikats, der ein festes „not after“-Datum hat. IPeek liest das Live-Zertifikat und meldet die verbleibenden Tage, sodass Sie auf einen Blick sehen, ob es aktuell ist. Erneuern Sie vor diesem Datum; von Let's Encrypt ausgestellte Zertifikate sind 90 Tage gültig, während kommerzielle Zertifikate oft ein Jahr laufen.

Warum sagt mein Browser, das Zertifikat sei nicht vertrauenswürdig?

Eine Warnung über fehlende Vertrauenswürdigkeit bedeutet meist, dass die Signaturkette keine Wurzel erreicht, die Ihr Browser kennt. Die häufigen Ursachen sind ein selbstsigniertes Zertifikat, ein fehlendes Zwischenzertifikat oder ein abgelaufenes Zertifikat. Installieren Sie die vollständige Kette (Leaf plus Zwischenzertifikate) auf dem Server oder stellen Sie von einer vertrauenswürdigen CA neu aus, und prüfen Sie dann erneut, ob das ausgelieferte Zertifikat sauber validiert.

Was sind SAN-Namen in einem Zertifikat?

Subject Alternative Names sind die Liste der Hostnamen, für die ein einzelnes Zertifikat gültig ist. Ein Zertifikat ist nur für Namen in seiner SAN-Liste vertrauenswürdig, sodass example.com und www.example.com beide erscheinen müssen, sonst löst eine Variante einen Namensabweichungsfehler aus. Wildcard-Einträge wie *.example.com decken alle Subdomains einer Ebene ab.

Kann ich ein Zertifikat prüfen, ohne die Website zu besuchen?

Ja. IPeek verbindet sich direkt über TLS mit dem Host, liest das vom Server präsentierte Zertifikat und meldet Aussteller, Daten, SAN-Namen und Kette, ohne dass Sie die Website im Browser öffnen. Das ist nützlich, um einen Host vor dem Launch, hinter einer Weiterleitung oder dann zu prüfen, wenn Sie nur die Domain haben und verifizieren möchten, dass sie ein gültiges Zertifikat ausliefert.

Verwandte Tools

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어