Esamina il certificato TLS e la scadenza di un sito
DNS e record
Lookup DNS Tutti i record DNS per qualsiasi dominio Lookup record A Indirizzi IPv4 di un dominio Lookup record AAAA Indirizzi IPv6 di un dominio Lookup MX Server di posta di un dominio Lookup NS Name server autoritativi Lookup TXT Record TXT, SPF, verifica Lookup CNAME Record di nome canonico (alias) Lookup SOA Record Start of Authority Lookup SRV Record di localizzazione dei servizi Lookup CAA Quali CA possono emettere certificati DNS inverso (PTR) Da indirizzo IP a hostname Verifica DNSSEC Il dominio è firmato e validato? Diagnostica DNS Un report completo di delega e DNSRecapitabilità email
Verifica SPF Valida il tuo record Sender Policy Framework Verifica DMARC Esamina e valuta la tua policy DMARC Verifica DKIM Trova e valida la tua chiave pubblica DKIM Verifica blacklist Verifica un IP rispetto alle blocklist email (DNSBL) Test SMTP Connettiti a un server di posta e verifica STARTTLS Verifica MTA-STS Policy TLS forzata per la posta in entrata Verifica BIMI Record del logo del brand per l'email Verifica TLS-RPT Policy di reportistica SMTP TLSRete e web
Verifica certificato SSL Esamina il certificato TLS e la scadenza di un sito Verifica header HTTP Esamina header di risposta, redirect e sicurezza Ping (TCP) Raggiungibilità e latenza su TCP Verifica porte Quali porte comuni sono aperteDominio
Lookup WHOIS Dati di registrazione per domini, IP e ASNIl certificato TLS di un sito ne dimostra l'identità e cifra il traffico tra il browser e il server. Un certificato scaduto, autofirmato o con nome non corrispondente compromette la fiducia e fa scattare avvisi del browser che allontanano i visitatori. IPeek si connette direttamente all'host, legge il certificato live e ne riporta l'emittente, la finestra di validità, i giorni rimanenti, i nomi che copre e gli eventuali problemi rilevati.
Durante l'handshake TLS il server presenta un certificato firmato da una Certificate Authority attendibile. Il browser verifica che il nome del certificato corrisponda all'hostname, che la catena di firma porti a una radice che ritiene attendibile e che la data corrente rientri nella finestra di validità. Se tutti e tre i controlli passano, la connessione è cifrata e compare il lucchetto. "SSL" è il nome comune che molti usano ancora, ma il protocollo effettivo è TLS da anni. IPeek esegue lo stesso handshake e poi riporta ciò che il server ha restituito, invece di limitarsi a mostrare un lucchetto.
Parti dai giorni rimanenti: qualsiasi valore sotto 30 significa rinnovare presto, e un valore negativo significa che il certificato è già scaduto e i visitatori vedono già gli avvisi. Controlla l'emittente per confermare che sia una CA reale e non un segnaposto autofirmato. L'elenco Subject Alternative Name (SAN) mostra ogni hostname coperto dal certificato, quindi un certificato per example.com che omette www.example.com fallirà su quella variante. Infine, verifica che la catena sia completa; un certificato intermedio mancante è valido in alcuni client ma si rompe in altri.
Il guasto più frequente è la semplice scadenza, risolta rinnovando e ricaricando il web server. Una mancata corrispondenza del nome significa che l'hostname non è nell'elenco SAN, quindi riemetti con i nomi corretti o aggiungi un wildcard. Gli errori "autofirmato" o "emittente non attendibile" significano che la catena del certificato non raggiunge una radice attendibile, di solito perché il certificato intermedio non è stato installato insieme a quello finale. Dopo qualsiasi correzione, ricontrolla con IPeek per confermare che il certificato live servito sulla rete corrisponda a ciò che intendevi, dato che i certificati obsoleti spesso restano nei load balancer e nelle CDN.
Esegui un controllo prima del lancio e ogni volta che migri l'hosting, cambi CDN o ruoti i certificati, perché sono i momenti in cui compaiono mancate corrispondenze e catene incomplete. Imposta un promemoria prima della data di scadenza, soprattutto per i certificati non in rinnovo automatico. È anche il modo più rapido per diagnosticare un visitatore che segnala un avviso di sicurezza del browser: il controllo ti dice immediatamente se il problema è la scadenza, una mancata corrispondenza del nome o una catena interrotta, così puoi agire invece di tirare a indovinare.
Si riferiscono allo stesso compito, ma TLS è il protocollo attuale. SSL era lo standard di cifratura originale; è stato sostituito da TLS, e ogni moderno "certificato SSL" usa in realtà TLS. Il nome SSL è rimasto perché familiare, quindi strumenti e fornitori dicono ancora SSL mentre la connessione stessa negozia TLS 1.2 o 1.3.
Controlla la finestra di validità del certificato, che ha una data "not after" fissa. IPeek legge il certificato live e riporta i giorni rimanenti, così vedi a colpo d'occhio se è ancora valido. Rinnova prima di quella data; i certificati emessi da Let's Encrypt durano 90 giorni, mentre quelli commerciali spesso durano un anno.
Un avviso di non attendibilità di solito significa che la catena di firma non raggiunge una radice riconosciuta dal browser. Le cause comuni sono un certificato autofirmato, un certificato intermedio mancante o un certificato scaduto. Installa la catena completa (finale più intermedi) sul server, oppure riemetti da una CA attendibile, poi ricontrolla che il certificato servito si convalidi correttamente.
I Subject Alternative Name sono l'elenco di hostname per cui un singolo certificato è valido. Un certificato è attendibile solo per i nomi nel suo elenco SAN, quindi example.com e www.example.com devono comparire entrambi, altrimenti una variante genererà un errore di mancata corrispondenza del nome. Le voci wildcard come *.example.com coprono tutti i sottodomini di un livello.
Sì. IPeek si connette direttamente all'host tramite TLS, legge il certificato presentato dal server e riporta emittente, date, nomi SAN e catena senza che tu apra il sito in un browser. È utile per controllare un host prima del lancio, dietro un reindirizzamento, o quando hai solo il dominio e vuoi verificare che serva un certificato valido.