Инструменты сетевой диагностики
Изучите сертификат TLS сайта и срок его действия
DNS и записи
Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNSДоставляемость почты
Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLSСеть и веб
Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открытыДомен
Поиск WHOIS Регистрационные данные для доменов, IP и ASNTLS-сертификат сайта подтверждает его подлинность и шифрует трафик между браузером и сервером. Просроченный, самоподписанный или несоответствующий сертификат подрывает доверие и вызывает предупреждения браузера, отпугивающие посетителей. IPeek подключается напрямую к хосту, считывает живой сертификат и сообщает его издателя, срок действия, число оставшихся дней, охватываемые имена и любые найденные проблемы.
Во время TLS-рукопожатия сервер предъявляет сертификат, подписанный доверенным удостоверяющим центром (CA). Браузер проверяет, что имя в сертификате совпадает с именем хоста, что цепочка подписи ведёт к доверенному корню и что текущая дата попадает в срок действия. Если все три условия выполнены, соединение шифруется и появляется значок замка. «SSL» — привычное название, которое до сих пор используют, но фактический протокол уже много лет — TLS. IPeek выполняет то же рукопожатие, а затем сообщает, что вернул сервер, вместо того чтобы просто рисовать замок.
Начните с числа оставшихся дней: значение менее 30 означает, что пора скоро обновлять, а отрицательное — что сертификат уже просрочен и посетители сейчас видят предупреждения. Проверьте издателя, чтобы убедиться, что это настоящий CA, а не самоподписанная заглушка. Список Subject Alternative Name (SAN) показывает каждое имя хоста, которое покрывает сертификат, так что сертификат для example.com, не включающий www.example.com, провалится на этом варианте. Наконец, убедитесь, что цепочка полна; отсутствующий промежуточный сертификат проходит проверку в одних клиентах, но ломается в других.
Самый частый сбой — простое истечение срока, устраняемое обновлением и перезагрузкой веб-сервера. Несоответствие имени означает, что имя хоста отсутствует в списке SAN, так что перевыпустите сертификат с правильными именами или добавьте wildcard. Ошибки «самоподписанный» или «недоверенный издатель» означают, что цепочка сертификата не доходит до доверенного корня, обычно потому что промежуточный сертификат не был установлен вместе с конечным. После любого исправления перепроверьте через IPeek, что выдаваемый по сети живой сертификат совпадает с задуманным, ведь устаревшие сертификаты часто задерживаются в балансировщиках и CDN.
Запускайте проверку перед запуском и всякий раз при миграции хостинга, смене CDN или ротации сертификатов, ведь именно тогда появляются несоответствия и отсутствующие цепочки. Поставьте напоминание заранее до даты истечения, особенно для сертификатов без автоматического обновления. Это также самый быстрый способ диагностировать жалобу посетителя на предупреждение безопасности браузера: проверка сразу скажет, в чём проблема — в истечении срока, несоответствии имени или сломанной цепочке, — чтобы вы действовали, а не гадали.
Они выполняют одну и ту же задачу, но TLS — это актуальный протокол. SSL был исходным стандартом шифрования; его сменил TLS, и каждый современный «SSL-сертификат» на деле использует TLS. Название SSL прижилось, потому что оно привычно, поэтому инструменты и поставщики до сих пор говорят SSL, хотя само соединение согласует TLS 1.2 или 1.3.
Проверьте срок действия сертификата, у которого есть фиксированная дата «not after». IPeek считывает живой сертификат и сообщает число оставшихся дней, так что вы сразу видите, актуален ли он. Обновляйте до этой даты; сертификаты Let's Encrypt действуют 90 дней, тогда как коммерческие часто действуют один год.
Предупреждение о недоверии обычно означает, что цепочка подписи не доходит до корня, который распознаёт ваш браузер. Частые причины — самоподписанный сертификат, отсутствующий промежуточный сертификат или просроченный сертификат. Установите полную цепочку (конечный плюс промежуточные) на сервере или перевыпустите от доверенного CA, затем перепроверьте, что выдаваемый сертификат проходит проверку без ошибок.
Subject Alternative Names — это список имён хостов, для которых валиден один сертификат. Сертификат доверен только для имён из его списка SAN, поэтому и example.com, и www.example.com должны присутствовать, иначе один из вариантов выдаст ошибку несоответствия имени. Записи wildcard вида *.example.com покрывают все поддомены одного уровня.
Да. IPeek подключается напрямую к хосту по TLS, считывает сертификат, который предъявляет сервер, и сообщает издателя, даты, имена SAN и цепочку, не открывая сайт в браузере. Это полезно для проверки хоста перед запуском, за редиректом или когда у вас есть только домен и вы хотите убедиться, что он отдаёт валидный сертификат.