ネットワーク診断ツール

SSL 証明書チェック

サイトの TLS 証明書と有効期限を検査

esc
あなたの IP 8.8.8.8 または google.com

DNS とレコード

DNS ルックアップ あらゆるドメインのすべての DNS レコード A レコードルックアップ ドメインの IPv4 アドレス AAAA レコードルックアップ ドメインの IPv6 アドレス MX ルックアップ ドメインのメールサーバー NS ルックアップ 権威ネームサーバー TXT ルックアップ TXT レコード、SPF、検証 CNAME ルックアップ 正規名(エイリアス)レコード SOA ルックアップ Start of Authority レコード SRV ルックアップ サービスロケーションレコード CAA ルックアップ どの CA が証明書を発行できるか 逆引き DNS(PTR) IP アドレスからホスト名へ DNSSEC チェック ドメインは署名され検証されているか? DNS ヘルスチェック 委任と DNS の総合診断レポート

メール到達性

SPF チェック Sender Policy Framework レコードを検証 DMARC チェック DMARC ポリシーを検査・評価 DKIM チェック DKIM 公開鍵を検索・検証 ブラックリストチェック IP をメールブロックリスト(DNSBL)と照合 SMTP テスト メールサーバーに接続し STARTTLS をチェック MTA-STS チェック 受信メールに対する強制 TLS ポリシー BIMI チェック メール用のブランドロゴレコード TLS-RPT チェック SMTP TLS レポートポリシー

ネットワークとウェブ

SSL 証明書チェック サイトの TLS 証明書と有効期限を検査 HTTP ヘッダーチェック レスポンスヘッダー、リダイレクト、セキュリティを検査 Ping(TCP) TCP 経由での到達性と遅延 ポートチェック どの一般的なポートが開いているか

ドメイン

WHOIS ルックアップ ドメイン、IP、ASN の登録データ

SSL証明書とは?

サイトのTLS証明書は、サイトの身元を証明し、ブラウザとサーバー間の通信を暗号化します。期限切れ、自己署名、または名前の不一致がある証明書は信頼を損ない、訪問者を遠ざけるブラウザ警告を引き起こします。IPeekはホストに直接接続して稼働中の証明書を読み取り、発行者、有効期間、残り日数、対象となる名前、検出された問題を報告します。

TLS証明書が身元を証明する仕組み

TLSハンドシェイク中、サーバーは信頼された認証局(CA)によって署名された証明書を提示します。ブラウザは、証明書の名前がホスト名と一致すること、署名チェーンが信頼するルートに到達すること、現在の日付が有効期間内にあることを確認します。3つすべてが通れば、通信は暗号化され、鍵マークが表示されます。「SSL」は今でも一般に使われる名称ですが、実際のプロトコルは長年TLSです。IPeekはこれと同じハンドシェイクを実行し、単に鍵マークを描画するのではなく、サーバーが返した内容を報告します。

証明書の結果の読み解き方

まず残り日数を確認します。30未満なら早めの更新が必要で、マイナスの値は証明書がすでに期限切れで、訪問者には今すぐ警告が表示されていることを意味します。発行者を確認し、自己署名の仮の証明書ではなく本物のCAであることを確かめます。Subject Alternative Name(SAN)の一覧は、証明書が対象とするすべてのホスト名を示すため、www.example.comを含まないexample.comの証明書はそのバリアントで失敗します。最後にチェーンが完全であることを確認します。中間証明書が欠けていると、一部のクライアントでは検証できても他では壊れます。

よくある証明書の問題と修正方法

最も頻繁な失敗は単純な期限切れで、更新してウェブサーバーを再読み込みすれば解決します。名前の不一致は、ホスト名がSAN一覧にないことを意味するため、正しい名前で再発行するか、ワイルドカードを追加します。「自己署名」や「信頼されていない発行者」のエラーは、証明書チェーンが信頼されたルートに到達していないことを意味し、たいてい中間証明書がリーフ証明書とともにインストールされていないためです。修正後はIPeekで再確認し、ロードバランサーやCDNに古い証明書が残ることが多いため、実際に配信されている稼働中の証明書が意図したものと一致しているか確かめてください。

SSL証明書チェックが必要なとき

公開前、そしてホスティングの移行、CDNの変更、証明書のローテーションを行うたびにチェックを実行してください。これらは名前の不一致やチェーンの欠落が現れる瞬間だからです。特に自動更新でない証明書については、期限日の前にリマインダーを設定しましょう。また、訪問者からブラウザのセキュリティ警告が報告された際の最速の診断手段でもあります。チェックにより、問題が期限切れか、名前の不一致か、チェーンの破損かが即座に分かるため、推測ではなく対処できます。

よくある質問

SSLとTLSの違いは何ですか?

両者は同じ役割を指しますが、現行のプロトコルはTLSです。SSLは元々の暗号化標準で、TLSに取って代わられました。現代の「SSL証明書」はすべて実際にはTLSを使用しています。SSLという名前はなじみがあるために定着しており、ツールやベンダーは今でもSSLと言いますが、通信自体はTLS 1.2または1.3をネゴシエートしています。

SSL証明書の有効期限はどうやって知ることができますか?

証明書の有効期間を確認します。「not after」の固定日付があります。IPeekは稼働中の証明書を読み取り、残り日数を報告するため、一目で有効かどうかが分かります。その日付より前に更新してください。Let's Encryptが発行する証明書は90日間有効で、商用証明書は1年間有効なことが多いです。

ブラウザが証明書を信頼できないと表示するのはなぜですか?

信頼されていないという警告は、通常、署名チェーンがブラウザの認識するルートに到達していないことを意味します。よくある原因は、自己署名証明書、中間証明書の欠落、期限切れ証明書です。完全なチェーン(リーフ+中間証明書)をサーバーにインストールするか、信頼されたCAから再発行し、配信される証明書がクリーンに検証されることを再確認してください。

証明書のSAN名とは何ですか?

Subject Alternative Names(SAN)は、1つの証明書が有効となるホスト名の一覧です。証明書はSAN一覧にある名前に対してのみ信頼されるため、example.comとwww.example.comの両方を記載する必要があり、さもないと一方のバリアントで名前不一致エラーが発生します。*.example.comのようなワイルドカードエントリは、1階層のすべてのサブドメインをカバーします。

サイトを訪問せずに証明書をチェックできますか?

はい。IPeekはTLS経由でホストに直接接続し、サーバーが提示する証明書を読み取って、発行者、日付、SAN名、チェーンを報告します。ブラウザでサイトを開く必要はありません。これは、公開前のホスト、リダイレクトの背後にあるホスト、あるいはドメインしか分からず有効な証明書を配信しているか確認したい場合に便利です。

関連ツール

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어