Ferramentas de Diagnóstico de Rede

Verificação de Certificado SSL

Inspecione o certificado TLS e a validade de um site

esc
Seu IP 8.8.8.8 ou google.com

DNS e Registros

Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNS

Entregabilidade de E-mail

Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTP

Rede e Web

Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertas

Domínio

Consulta WHOIS Dados de registro de domínios, IPs e ASNs

O que é um certificado SSL?

O certificado TLS de um site comprova sua identidade e criptografa o tráfego entre o navegador e o servidor. Um certificado expirado, autoassinado ou com nome incompatível quebra a confiança e dispara avisos do navegador que afastam visitantes. O IPeek conecta-se diretamente ao host, lê o certificado ao vivo e informa o emissor, a janela de validade, os dias restantes, os nomes que ele cobre e quaisquer problemas encontrados.

Como um certificado TLS comprova identidade

Durante o handshake TLS, o servidor apresenta um certificado assinado por uma Autoridade Certificadora confiável. O navegador verifica se o nome do certificado corresponde ao hostname, se a cadeia de assinatura leva a uma raiz em que ele confia e se a data atual está dentro da janela de validade. Se as três condições forem atendidas, a conexão é criptografada e o cadeado aparece. "SSL" é o nome popular que as pessoas ainda usam, mas o protocolo real é o TLS há anos. O IPeek realiza esse mesmo handshake e informa o que o servidor retornou, em vez de apenas exibir um cadeado.

Como interpretar os resultados do seu certificado

Comece pelos dias restantes: qualquer valor abaixo de 30 significa renovar em breve, e um valor negativo significa que o certificado já expirou e os visitantes veem avisos agora. Verifique o emissor para confirmar que é uma CA real, e não um substituto autoassinado. A lista de Subject Alternative Name (SAN) mostra todos os hostnames que o certificado cobre, então um certificado para example.com que omite www.example.com falhará nessa variante. Por fim, confirme se a cadeia está completa; um certificado intermediário ausente valida em alguns clientes, mas quebra em outros.

Problemas comuns de certificado e como corrigi-los

A falha mais frequente é a simples expiração, corrigida renovando e recarregando o servidor web. Uma incompatibilidade de nome significa que o hostname não está na lista de SAN, então reemita com os nomes corretos ou adicione um curinga. Erros de "autoassinado" ou "emissor não confiável" significam que a cadeia do certificado não alcança uma raiz confiável, geralmente porque o certificado intermediário não foi instalado junto com o leaf. Após qualquer correção, verifique novamente com o IPeek para confirmar que o certificado ao vivo servido na conexão corresponde ao que você pretendia, já que certificados desatualizados costumam permanecer em load balancers e CDNs.

Quando você precisa verificar um certificado SSL

Faça uma verificação antes do lançamento e sempre que migrar a hospedagem, trocar de CDN ou rotacionar certificados, pois esses são os momentos em que surgem incompatibilidades e cadeias ausentes. Defina um lembrete antes da data de expiração, especialmente para certificados sem renovação automática. É também a forma mais rápida de diagnosticar um visitante que relata um aviso de segurança do navegador: a verificação informa imediatamente se o problema é expiração, incompatibilidade de nome ou cadeia quebrada, para você agir em vez de adivinhar.

Perguntas frequentes

Qual é a diferença entre SSL e TLS?

Eles cumprem a mesma função, mas o TLS é o protocolo atual. O SSL foi o padrão de criptografia original; ele foi substituído pelo TLS, e todo "certificado SSL" moderno na verdade usa TLS. O nome SSL pegou porque é familiar, então ferramentas e fornecedores ainda dizem SSL enquanto a própria conexão negocia TLS 1.2 ou 1.3.

Como sei quando meu certificado SSL expira?

Verifique a janela de validade do certificado, que tem uma data fixa de "not after". O IPeek lê o certificado ao vivo e informa os dias restantes, então você vê de relance se ele está em dia. Renove antes dessa data; certificados emitidos pela Let's Encrypt duram 90 dias, enquanto certificados comerciais costumam durar um ano.

Por que meu navegador diz que o certificado não é confiável?

Um aviso de não confiável geralmente significa que a cadeia de assinatura não alcança uma raiz que seu navegador reconhece. As causas comuns são um certificado autoassinado, um certificado intermediário ausente ou um certificado expirado. Instale a cadeia completa (leaf mais intermediários) no servidor, ou reemita a partir de uma CA confiável, e verifique novamente se o certificado servido valida sem problemas.

O que são nomes SAN em um certificado?

Subject Alternative Names são a lista de hostnames para os quais um único certificado é válido. Um certificado só é confiável para os nomes em sua lista de SAN, então example.com e www.example.com devem aparecer ambos, ou uma das variantes gerará um erro de incompatibilidade de nome. Entradas curinga como *.example.com cobrem todos os subdomínios de um nível.

Posso verificar um certificado sem visitar o site?

Sim. O IPeek conecta-se diretamente ao host por TLS, lê o certificado que o servidor apresenta e informa o emissor, as datas, os nomes SAN e a cadeia sem que você abra o site no navegador. Isso é útil para verificar um host antes do lançamento, por trás de um redirecionamento ou quando você só tem o domínio e quer confirmar que ele serve um certificado válido.

Ferramentas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어