Inspectez le certificat TLS d'un site et son expiration
DNS et enregistrements
Lookup DNS Tous les enregistrements DNS d'un domaine Lookup d'enregistrement A Adresses IPv4 d'un domaine Lookup d'enregistrement AAAA Adresses IPv6 d'un domaine Lookup MX Serveurs de messagerie d'un domaine Lookup NS Serveurs de noms faisant autorité Lookup TXT Enregistrements TXT, SPF, vérification Lookup CNAME Enregistrements de nom canonique (alias) Lookup SOA Enregistrement Start of Authority Lookup SRV Enregistrements de localisation de service Lookup CAA Quelles CA peuvent émettre des certificats DNS inversé (PTR) Adresse IP vers nom d'hôte Vérification DNSSEC Le domaine est-il signé et validé ? Diagnostic DNS Un bilan complet de délégation et de DNSDélivrabilité des e-mails
Vérification SPF Validez votre enregistrement Sender Policy Framework Vérification DMARC Inspectez et évaluez votre politique DMARC Vérification DKIM Trouvez et validez votre clé publique DKIM Vérification de liste noire Vérifiez une IP face aux listes de blocage e-mail (DNSBL) Test SMTP Connectez-vous à un serveur de messagerie et vérifiez STARTTLS Vérification MTA-STS Politique TLS imposée pour le courrier entrant Vérification BIMI Enregistrement de logo de marque pour l'e-mail Vérification TLS-RPT Politique de rapport TLS SMTPRéseau et web
Vérification de certificat SSL Inspectez le certificat TLS d'un site et son expiration Vérification des en-têtes HTTP Inspectez les en-têtes de réponse, redirections et sécurité Ping (TCP) Accessibilité et latence via TCP Vérification de ports Quels ports courants sont ouvertsDomaine
Lookup WHOIS Données d'enregistrement pour domaines, IP et ASNLe certificat TLS d'un site prouve son identité et chiffre le trafic entre le navigateur et le serveur. Un certificat expiré, auto-signé ou ne correspondant pas au nom rompt la confiance et déclenche des avertissements de navigateur qui font fuir les visiteurs. IPeek se connecte directement à l'hôte, lit le certificat en direct et indique son émetteur, sa fenêtre de validité, le nombre de jours restants, les noms qu'il couvre et tout problème qu'il détecte.
Pendant la négociation TLS, le serveur présente un certificat signé par une autorité de certification de confiance. Le navigateur vérifie que le nom du certificat correspond au nom d'hôte, que la chaîne de signature aboutit à une racine de confiance, et que la date actuelle se situe dans la fenêtre de validité. Si ces trois conditions sont remplies, la connexion est chiffrée et le cadenas apparaît. « SSL » est le nom courant que l'on emploie encore, mais le protocole réel est TLS depuis des années. IPeek effectue cette même négociation, puis rapporte ce que le serveur a renvoyé au lieu de se contenter d'afficher un cadenas.
Commencez par les jours restants : toute valeur inférieure à 30 signifie qu'il faut renouveler bientôt, et une valeur négative signifie que le certificat est déjà expiré et que les visiteurs voient des avertissements dès maintenant. Vérifiez l'émetteur pour confirmer qu'il s'agit d'une véritable AC, et non d'un substitut auto-signé. La liste des Subject Alternative Name (SAN) indique chaque nom d'hôte couvert par le certificat : ainsi, un certificat pour example.com qui omet www.example.com échouera sur cette variante. Enfin, confirmez que la chaîne est complète ; un certificat intermédiaire manquant se valide chez certains clients mais se brise chez d'autres.
L'échec le plus fréquent est la simple expiration, corrigée en renouvelant et en rechargeant le serveur web. Une non-correspondance de nom signifie que le nom d'hôte n'est pas dans la liste des SAN : réémettez donc avec les bons noms ou ajoutez un certificat générique (wildcard). Les erreurs « auto-signé » ou « émetteur non approuvé » signifient que la chaîne du certificat n'atteint pas une racine de confiance, généralement parce que le certificat intermédiaire n'a pas été installé aux côtés du certificat feuille. Après chaque correction, vérifiez à nouveau avec IPeek pour confirmer que le certificat servi en direct sur le réseau correspond à vos intentions, car des certificats périmés s'attardent souvent dans les répartiteurs de charge et les CDN.
Effectuez une vérification avant la mise en ligne et à chaque fois que vous migrez d'hébergement, changez de CDN ou renouvelez des certificats, car ce sont les moments où apparaissent les non-correspondances et les chaînes manquantes. Programmez un rappel en amont de la date d'expiration, en particulier pour les certificats sans renouvellement automatique. C'est aussi le moyen le plus rapide de diagnostiquer le cas d'un visiteur signalant un avertissement de sécurité du navigateur : la vérification vous indique immédiatement si le problème est une expiration, une non-correspondance de nom ou une chaîne rompue, afin que vous puissiez agir au lieu de deviner.
Ils désignent la même fonction, mais TLS est le protocole actuel. Le SSL était la norme de chiffrement d'origine ; il a été supplanté par TLS, et tout « certificat SSL » moderne utilise en réalité TLS. Le nom SSL est resté parce qu'il est familier, si bien que les outils et les fournisseurs disent encore SSL alors que la connexion elle-même négocie TLS 1.2 ou 1.3.
Consultez la fenêtre de validité du certificat, qui comporte une date « not after » fixe. IPeek lit le certificat en direct et indique les jours restants, vous permettant de voir d'un coup d'œil s'il est à jour. Renouvelez avant cette date ; les certificats émis par Let's Encrypt durent 90 jours, tandis que les certificats commerciaux courent souvent sur un an.
Un avertissement de non-confiance signifie généralement que la chaîne de signature n'atteint pas une racine reconnue par votre navigateur. Les causes courantes sont un certificat auto-signé, un certificat intermédiaire manquant ou un certificat expiré. Installez la chaîne complète (feuille plus intermédiaires) sur le serveur, ou réémettez depuis une AC de confiance, puis vérifiez à nouveau que le certificat servi se valide proprement.
Les Subject Alternative Name sont la liste des noms d'hôte pour lesquels un même certificat est valide. Un certificat n'est approuvé que pour les noms figurant dans sa liste SAN : example.com et www.example.com doivent donc tous deux y figurer, sinon l'une des variantes déclenchera une erreur de non-correspondance de nom. Les entrées génériques telles que *.example.com couvrent tous les sous-domaines d'un même niveau.
Oui. IPeek se connecte directement à l'hôte via TLS, lit le certificat présenté par le serveur et indique l'émetteur, les dates, les noms SAN et la chaîne sans que vous ayez à ouvrir le site dans un navigateur. C'est utile pour vérifier un hôte avant la mise en ligne, derrière une redirection, ou lorsque vous ne disposez que du domaine et souhaitez confirmer qu'il sert un certificat valide.