SSL checker-ul de mai sus rulează un diagnostic complet pe orice certificat SSL/TLS public și returnează un raport detaliat care acoperă ratingul de securitate, lanțul de certificate, suitele de cifrare, scanările de vulnerabilități și compatibilitatea cu browserele. Secțiunile de mai jos explică cum să interpretezi fiecare parte a raportului.
Înțelegerea ratingului de securitate SSL
Fiecare scanare SSL checker produce o notă literală de la A+ până la F, însoțită de un scor numeric din 100.
- Un A sau A+ înseamnă că certificatul este instalat corect, folosește criptografie modernă și serverul are activate funcțiile de securitate corespunzătoare.
- Certificatele cu nota B sunt funcționale, dar indică loc de îmbunătățire.
- C și mai jos indică de obicei o versiune TLS depreciată, o funcție de securitate lipsă sau un certificat pe cale să expire.
Scorul este ponderat pe cinci categorii:
- Certificat (valabilitate și algoritm)
- Încredere (Autoritate de Certificare recunoscută și integritatea lanțului)
- Protocol (versiuni TLS acceptate, protocoale depreciate dezactivate)
- Funcții (HSTS, OCSP Stapling, Perfect Forward Secrecy, CAA)
- Valabilitate (timp rămas până la expirare)
Cele mai multe scăderi de rating provin din categoria Funcții. Certificatul funcționează, lanțul este corect, protocolul este actual, dar HSTS nu este configurat sau un record CAA nu este publicat. Acestea sunt corecții la nivel de server și DNS, nu probleme de certificat.
Interpretarea detaliilor certificatului
SSL checker-ul descompune fiecare certificat din lanț câmp cu câmp.
Common Name — domeniul principal pentru care este emis certificatul. Trebuie să corespundă URL-ului verificat, altfel browserul respinge conexiunea.
Issued By — intermediarul emitent plus Autoritatea de Certificare părinte. Nume recunoscute precum Sectigo, DigiCert, GeoTrust sau Google Trust Services sunt de încredere în mod automat. Emitenții obscuri sau orice certificat „auto-semnat” vor declanșa un avertisment.
Valid From / Valid To — fereastra de valabilitate a certificatului. Valid From contează mai mult decât se crede: dacă ceasul serverului este greșit sau un certificat este instalat înainte de termen, browserele îl resping ca nefiind încă valid.
Signature Algorithm — certificatele moderne folosesc SHA-256, SHA-384 sau ecdsa-with-SHA256. SHA-1 a fost depreciat cu ani în urmă, iar orice certificat care îl folosește în continuare ar trebui reemis.
Public Key — RSA pe 2048 de biți sau mai mult este standardul. ECC pe 256 de biți este alternativa modernă și produce certificate mai mici și mai rapide.
SAN (Subject Alternative Name) — numele de gazdă suplimentare acoperite de certificat. Wildcardurile precum *.example.com acoperă toate subdomeniile de un singur nivel. Certificatele multi-domeniu listează fiecare nume de gazdă protejat aici. Pentru certificatele DV, OV sau EV, lista SAN definește exact pentru ce domenii va valida certificatul.
Funcțiile de securitate ale certificatelor SSL explicate
Dincolo de certificatul în sine, SSL checker-ul raportează un panou cu șase funcții de securitate.
OCSP Stapling — serverul preia în avans propriul status de revocare de la CA și îl include în handshake-ul TLS pe portul 443. „Not Supported” adaugă latență la fiecare conexiune. De obicei, este o modificare de o singură linie în configurația Apache, Nginx sau IIS.
Perfect Forward Secrecy (PFS) — fiecare sesiune folosește o cheie unică, astfel încât o compromitere viitoare a cheii private nu poate decripta traficul trecut. „Not Supported” înseamnă că sesiunile înregistrate ar putea fi decriptate retroactiv. Activează prin preferarea suitelor de cifrare ECDHE.
Certificate Transparency (CT) — certificatele emise sunt înregistrate în jurnale CT publice, permițând proprietarilor de domenii să detecteze emiterea neautorizată. „Not Supported” pe un certificat public este neobișnuit.
HSTS (HTTP Strict Transport Security) — un header de răspuns al serverului care instruiește browserele să refuze conexiunile HTTP simple. Fără HSTS, un atacator poate retrograda un vizitator de la HTTPS și intercepta traficul. Adaugă un header Strict-Transport-Security în configurația serverului web.
Certificate Revocation Status — checker-ul interoghează OCSP și CRL pentru a confirma că certificatul nu a fost revocat. „Good” = activ. „Revoked” = browserele îl vor respinge, reemite imediat. „Unknown” pe CRL este frecvent și nu reprezintă o problemă dacă OCSP returnează Good.
DNS CAA Record — un record DNS care listează ce Autorități de Certificare pot emite certificate pentru domeniu. Fără acesta, orice CA ar putea tehnic să emită un certificat. Adaugă un record CAA la furnizorul DNS listând CA-urile tale.
Rezultatele scanării vulnerabilităților TLS
Sunt scanate cinci vulnerabilități TLS cunoscute. Majoritatea serverelor au aplicat patch-urile cu ani în urmă, astfel că SSL checker-ul confirmă de obicei că totul este în regulă.
Heartbleed (CVE-2014-0160) — un bug de citire a memoriei în OpenSSL care expunea cheile private. „Safe” înseamnă că serverul rulează o versiune OpenSSL cu patch aplicat.
POODLE (CVE-2014-3566) — un atac de tip padding-oracle împotriva SSLv3. „Safe” înseamnă că SSLv3 este dezactivat.
BEAST (CVE-2011-3389) — o vulnerabilitate de tip cipher block chaining în TLS 1.0. „Safe” înseamnă că TLS 1.0 este dezactivat sau serverul folosește suite de cifrare nevulnerabile.
ROBOT (CVE-2017-13099) — Return Of Bleichenbacher’s Oracle Threat. O vulnerabilitate de padding RSA care a reapărut în multe implementări de furnizori. „Safe” înseamnă că serverul nu expune un schimb de chei vulnerabil.
Ticketbleed (CVE-2016-9244) — divulgare de memorie specifică F5 BIG-IP prin intermediul tichetelor de sesiune TLS. „Safe” înseamnă că nu există niciun dispozitiv F5 fără patch aplicat.
Suite de cifrare și suport pentru protocoale
SSL checker-ul grupează suitele de cifrare acceptate sub TLS 1.3, TLS 1.2 și Slabe.
- TLS 1.3 are o listă restrânsă de suite puternice prin design.
- Calitatea cifrărilor TLS 1.2 variază, motiv pentru care fiecare suită este enumerată individual.
- Coloana Slabe semnalează protocoale sau cifrări depreciate care ar trebui dezactivate: SSLv3, TLS 1.0, TLS 1.1, RC4, 3DES și orice cifru NULL sau EXPORT.
Numele suitelor de cifrare urmează o structură previzibilă. În TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384:
- ECDHE este schimbul de chei (asigurând Perfect Forward Secrecy)
- ECDSA este algoritmul de semnătură
- AES_256_GCM este cifrul simetric
- SHA384 este funcția hash
Atât AES pe 128 de biți, cât și pe 256 de biți sunt sigure.
Validarea lanțului de certificate
Raportul afișează lanțul complet de certificate pe trei niveluri:
- Certificatul Server
- Certificatul Intermediar
- Certificatul Rădăcină
Fiecare nivel este semnat de cel de deasupra sa, iar lanțul trebuie să se termine la o rădăcină în care browserul are deja încredere.
„Chain Complete” înseamnă că browserele pot parcurge lanțul de la server la rădăcină fără probleme.
„Incomplete” înseamnă că unul sau mai multe certificate intermediare lipsesc din ceea ce trimite serverul, astfel că browserele nu pot lega certificatul de o rădăcină de încredere, iar vizitatorii văd un avertisment de securitate.
Lanțurile incomplete sunt una dintre cele mai frecvente probleme de instalare SSL, iar SSL checker-ul le semnalează în partea de sus a raportului. Soluția este aproape întotdeauna reinstalarea folosind pachetul complet de lanț furnizat de CA. Căile specifice serverului diferă: Apache folosește o directivă de fișier de lanț, în timp ce Nginx așteaptă un fullchain.pem. IIS gestionează reconstrucția lanțului prin expertul de import al certificatelor.
Verificarea expirării certificatelor SSL
SSL checker-ul afișează expirarea în două locuri: rezumatul din partea de sus afișează zilele rămase și data Valid To, iar fiecare certificat din lanț își afișează propria fereastră de valabilitate.
Conform CA/Browser Forum Ballot SC-081v3, duratele de viață ale certificatelor SSL/TLS publice sunt reduse treptat. Începând cu 15 martie 2026, valabilitatea maximă a scăzut de la 398 de zile la 200 de zile. Aceasta scade la 100 de zile începând cu 15 martie 2027 și la 47 de zile începând cu 15 martie 2029.
Cu un certificat de 200 de zile, verificările lunare plus un memento la 30 de zile funcționează. Până când vor apărea certificatele de 47 de zile, reînnoirea manuală devine impractică. Răspunsul standard este automatizarea bazată pe ACME, care permite serverului să solicite și să reînnoiască certificate fără intervenție manuală.
Compatibilitatea cu browserele – când contează
SSL checker-ul testează certificatul față de 13 combinații de browsere și dispozitive. Browserele moderne (Chrome 80+, Firefox 80+, Safari 14+, Edge 80+, Opera 70+, iOS 15+ Safari, Android 10+) ar trebui să afișeze întotdeauna Supported pentru un certificat actual.
Platformele mobile mai vechi, precum Android 5-7 și iOS 12, afișează adesea suport parțial. Dacă acest lucru contează depinde de audiență. Browserele desktop vechi, precum Internet Explorer 10 și 11, eșuează aproape întotdeauna cu certificatele moderne, deoarece nu suportă TLS 1.2 implicit. Un scor de 9/13 cu toate browserele moderne marcate cu verde este normal în 2026.
Când să rulezi o verificare SSL
O singură verificare după instalare nu este suficientă. Rulează SSL checker-ul:
- După instalarea unui certificat nou
- Cu 30 de zile înainte de expirare, într-un ciclu de 200 de zile
- După fiecare reînnoire sau reemitere
- După o migrare de server sau schimbare de IP
- După schimbarea Autorității de Certificare
- După trecerea la o configurație wildcard sau multi-domeniu
- După activarea HSTS, OCSP Stapling sau orice modificare a configurației TLS
Întrebări frecvente
Lunar este o linie de bază rezonabilă. Cu certificatele de 200 de zile acum fiind maximul, setați o reamintire strictă pentru a executa o verificare completă 30 de zile înainte de expirare. Executați o verificare suplimentară după reînnoi, deoarece greșelile din bundle-ul lanțului sunt cea mai frecventă problemă post-reînnoire.
Copiați link-ul
Urmărește o notă A sau A+. O notă B funcționează în fiecare browser, dar diferența de obicei indică probleme care pot fi rezolvate. Majoritatea scăderilor de rating se întorc la două elemente pe care SSL checker le evidențiază în panoul caracteristicilor de securitate: un header HSTS lipsă sau un înregistrare CAA neconfigurată. Nici una dintre acestea nu necesită modificarea certificatului.
Copiați link-ul
Serverul tău nu trimite toate certificatele intermediare de care au nevoie browserele. Soluția rapidă: Apache folosește SSLCertificateChainFile sau un bundle combinat, Nginx așteaptă un fișier fullchain.pem, iar IIS reconstruiește lanțul prin asistentul de import al certificatelor.
Copiați link-ul
Nu, verificatoarele publice nu pot accesa gazdele interne din spatele firewallurilor. De pe o mașină din aceeași rețea, rulați openssl s_client -connect host:443 -servername host pentru o ieșire echivalentă. Instrumentul OpenSSL din linia de comandă este inclus în majoritatea distribuțiilor Linux și este disponibil pentru Windows.
Copiați link-ul
Da. Citește orice certificat pe care serverul îl prezintă, de la Sectigo, DigiCert, GeoTrust, RapidSSL, Thawte, GoGetSSL, Let’s Encrypt, Google Trust Services și alții. Catalogul de certificate SSL al SSL Dragon acoperă șase dintre aceste CA-uri comparativ.
Copiați link-ul
HSTS este un antet de răspuns al serverului, nu face parte din certificat. Certificatul poate fi perfect valid în timp ce HSTS rămâne neconfigurat. Adăugați-l în configurația serverului web: Apache folosește Header always set Strict-Transport-Security, Nginx folosește add_header Strict-Transport-Security.
Copiați link-ul
