Home
Guía del usuario de Decoder.link – Certificados SSL –

Guía del usuario de Decoder.link – Certificados SSL –

No Comments Conocimiento

Este artículo es una descripción general de la funcionalidad del verificador de instalación SSL disponible a través del siguiente enlace:

Comprobador SSL

Esta pestaña le permite verificar su estado SSL y otra información necesaria sobre sus dominios. Para verificar un dominio/subdominio y su certificado SSL, pegue el nombre completo de dominio/subdominio (FQDN) (p. ej.) en el campo “Nombre de host” y asegúrese de seleccionar el puerto apropiado (el valor predeterminado es 443). Si su SSL es viable, aparecerá una ventana azul en la sección “Informe”.

Informe

Esta sección resume el análisis realizado y ofrece una imagen general de la configuración del dominio.

  • “Nombre de host” – coincidencia/no coincidencia: muestra si el nombre común en el certificado coincide con el dominio/subdominio que ingresó para verificar;
  • “Caducado” – Sí/No, con contador de días – muestra si el SSL instalado actualmente para el dominio que está verificando es válido o ha caducado. Si aún es válido, también mostrará cuántos días quedan;
  • “Clave pública”: contiene las siguientes marcas para el certificado de entidad final:
    • Tamaño de clave RSA: debe cumplir con el tamaño de 2048/4096 bits;
    • Curvas ECDSA: comprueba si la curva ECDSA es compatible con la mayoría de los clientes SSL/TLS;
    • DSA: comprueba si el certificado contiene una clave DSA;
  • “Confiable”: Sí/No, si la cadena de certificados se puede verificar o no con el almacenamiento confiable del navegador;
  • “Autofirmado”: ​​Sí/No: verifica si el certificado de entidad final está autofirmado;
  • “Problemas de cadena” – Sí/No, verifica si el servidor suministra certificados intermedios y si cada certificado de la cadena firma directamente el anterior;
  • “Firmas débiles”: Sí/No, verifica si la cadena contiene certificados (excluyendo el certificado raíz) firmados con una función hash débil (por ejemplo, MD5, SHA1);
  • “Estado OCSP”: verifica el estado de revocación de los certificados en el respondedor OCSP.

A continuación se muestra la tabla que enumera los posibles resultados en los campos mencionados anteriormente y su significado.

Campo

Resultado positivo

Resultado negativo

Nombre de host

Coincide con el nombre común o/y SAN

No coincide con el nombre común ni con las SAN

Venció

No (X días hasta el vencimiento)

Sí (caducó hace X días)

Clave pública WNo pudimos encontrar ningún problema en la clave pública del certificado de entidad final

El tamaño de la clave RSA es demasiado pequeño; el estándar industrial actual para claves RSA es de 2048 bits

Confiable

Sí, pudimos verificar el certificado.

No pudimos verificar este certificado.

Autofirmado

No, el certificado de entidad final no está autofirmado

El certificado de entidad final está autofirmado.

Problemas de cadena No, no pudimos detectar ningún problema en la cadena de certificados enviada por el servidor

See also  Cómo crear y restaurar copias de seguridad en cPanel - Alojamiento -

La cadena no contiene ningún certificado intermedio.

El orden de los certificados no es válido o los certificados no pueden crear una ruta de certificación

Firmas débiles

No, los certificados enviados por el servidor no se firmaron utilizando una función hash débil

Los certificados intermedios o de entidad final se firmaron utilizando una función hash débil

Estado del OCSP

OCSP Responder devolvió el estado “bueno” para el certificado de entidad final

El certificado ha sido revocado.

Información DNS

  • Resuelve para: muestra la dirección IP de su servidor;

  • Búsqueda inversa de IP: muestra el nombre de host del servidor;

  • Servidor de nombres: registros NS;

  • Nota: muestra si la verificación detecta alojamiento o servidores de nombres predeterminados. La verificación también realiza un análisis de los registros PTR para reconocer el alojamiento compartido de y presentará la notificación correspondiente.

La función responsable de la búsqueda de DNS se ejecuta independientemente de la función que intenta realizar un protocolo de enlace SSL/TLS. Esto significa que si no hay SSL instalado en el servidor, se seguirá mostrando cierta información relacionada con el DNS, incluso si no se puede establecer un protocolo de enlace. A continuación se muestra un ejemplo de un caso en el que el servidor no envía certificados en respuesta:

El motivo de este tipo de resultado es simplificar la solución de problemas cuando el problema es causado por problemas de DNS (por ejemplo, registros CNAME/A incorrectos, problemas de resolución de FQDN, etc.).

Información general

La siguiente información sobre el certificado SSL se puede encontrar en esta sección:

  • Nombre común: nombre común del certificado de entidad final que está instalado en el servidor;

  • SAN: dominios/subdominios adicionales cubiertos por el certificado de entidad final;

  • Organización: la empresa para la que se emitió el certificado (solo si se presenta en el certificado);

  • Localidad: el nombre completo de su ciudad (solo si se presenta en el certificado);

  • Algoritmo de firma: (resaltado cuando se utiliza una firma débil);

  • Tipo de clave: RSA/ECDSA (resaltado si se encuentran problemas, la descripción del problema aparecerá en la sección “Informe”);

  • Tamaño de clave: la longitud en bits de la clave privada (por ejemplo, 2048 bits/4096 bits);

  • No antes: valor “Válido desde” del certificado de entidad final; el primer día de emisión del certificado;

  • No después de: valor “Válido hasta” del certificado de entidad final; la fecha de vencimiento del certificado;

  • Número de certificados: cantidad de certificados en la cadena de certificados;

  • Estado de revocación: bueno/no bueno;

  • Grapado OCSP: no compatible/compatible;

  • Servidor: especifica el tipo de servidor (muestra el resultado del comando curl -i);

  • HSTS: comprueba si el servidor tiene habilitado un encabezado HSTS;

  • HPKP: comprueba si el servidor tiene habilitado un encabezado HPKP.

Información de la cadena

Describe cada certificado enumerado en la cadena de certificados por separado mediante los siguientes parámetros:

  • ¿In situ?: verifica si el certificado certifica directamente al anterior en una cadena (este parámetro solo se muestra para certificados en un paquete CA);

  • Nombre común del sujeto: nombre común del certificado que se está verificando;

  • Organización Sujeta: nombre de la organización del certificado que se está verificando;

  • Nombre Común del Emisor: nombre común del certificado que certifica directamente éste;

  • Organización Emisora: nombre de la organización del certificado que certifica directamente éste;

  • No antes: se emitió el certificado del primer día;

  • No después: el último día de la vida útil del certificado/la fecha de vencimiento;

  • Algoritmo de firma: verifica el tipo de algoritmo de firma utilizado en el certificado (por ejemplo, sha256WithRSAEncryption, sha384WithRSAEncryption);

  • Número de serie: el número único del certificado en la base de datos de la CA;

  • Huella digital SHA1: utilizada para autenticar la clave pública;

  • Huella digital MD5: un resumen de mensaje mediante la función hash criptográfica utilizada para diferentes propósitos de autenticación (por ejemplo, verificar si la clave privada coincide con el certificado).

Apretón de manos OpenSSL

Esta sección contiene el resultado de un comando OpenSSL que verifica directamente la configuración SSL del servidor, incluida la cadena completa, la información del certificado, el protocolo de enlace SSL/TLS, los protocolos TLS definidos, los conjuntos de cifrado habilitados, etc.

openssl s_client -showcerts -connect ejemplo.com:443 -servername ejemplo.com

Generalmente es la principal fuente de información utilizada para las secciones “Informe”, “Información General”, “Información de la Cadena”.

Decodificador SSL y CSR

Esta herramienta ayuda a decodificar el certificado SSL o el código CSR y lo analiza para detectar problemas. Cuando todo esté correcto aparecerá el siguiente mensaje:

Una vez que pegue el CSR/certificado y haga clic en el botón “Decodificar”, aparecerá un enlace único para compartirlo.

Tenga en cuenta que el resultado variará dependiendo de si se pegó la CSR o el código del certificado.

Información general

Esta sección describe información general sobre el código CSR generado, como por ejemplo:

  • Nombre común;
  • Organización;
  • Localidad;
  • Estado;
  • País;
  • SAN;
  • Tipo de clave;
  • Tamaño de clave;
  • Clave débil de Debian: comprueba si la clave privada generada contiene funciones hash débiles;
  • Tamaño de la RSE;
  • Verificación de firma;
  • Algoritmo de Firma;
  • Hash del módulo SHA1;
  • Archivo de validación HTTP: archivo para la validación basada en HTTP de Sectigo.

Aquí puede descargar el archivo de validación y cargarlo en el servidor de inmediato para validar el certificado. Sin embargo, este archivo de validación no tendrá un valor único incluido (las CA generan aleatoriamente valores únicos después de activar el certificado), por lo que será necesario actualizar esta información manualmente. Es posible que necesite comunicarse con nuestro soporte SSL para obtener ayuda.

  • Enlace de validación HTTP: enlace directo al archivo de validación;
  • Alias ​​de DNS DCV: el valor de “Host” del registro CNAME para DCV basado en DNS;
  • DNS DCV CNAME: el valor “destino” del registro CNAME para DCV basado en DNS sin valor único incluido.

Secciones adicionales que se incluyen cuando el informe es para un certificado SSL:

  • Estado de revocación: bueno/no bueno;

  • Caducado: sí/no;

  • No antes: formato “Fecha, año hh:mm:ss GMT”: la fecha de emisión del administrador de Sectigo (si el certificado fue emitido por Sectigo);

  • No después: formato “Fecha, año hh:mm:ss GMT”: la fecha de vencimiento del certificado;

  • ¿Confiable?: el sistema pudo/no pudo encontrar el emisor;

  • Ruta del certificado: muestra los certificados enumerados en la cadena de certificados por sus valores de “Nombre común”;

  • Paquete (Nginx): al hacer clic en el icono del disquete a la derecha, se puede descargar el certificado combinado con el archivo del paquete CA (.crt + .ca-bundle). Es útil para los usuarios de Nginx que tienen problemas al combinar los archivos manualmente;

  • Paquete (Apache): el archivo de paquete de CA predeterminado con un certificado intermedio y uno raíz incluidos.

Información del sujeto

  • Nombre común;
  • Localidad;
  • Organización;
  • Estado;
  • País.

Extensiones x509v3, datos OpenSSL sin procesar, OpenSSL ASN1parse

Esta sección describe qué extensiones x509v3 están en uso. Este tipo de extensiones en su mayoría se incluyen en peculiaridades SSL avanzadas y, por lo general, solo son interesantes para los expertos en tecnología. Se puede encontrar más información en .

Puede encontrar documentación sobre las peculiaridades de la función OpenSSL ASN1parse.

La pestaña “Datos sin procesar de OpenSSL” muestra el resultado de las comprobaciones de OpenSSL sin la cadena de certificados incluida.

Generador de RSC

Si no puede generar un código CSR en su servidor o tiene dificultades con ciertas configuraciones personalizadas, un CSR en línea…

Related posts:

  1. ¿Cómo vinculo mi dominio a mi cuenta de Squarespace – Dominios –
  2. Creador gratuito de logotipos de fútbol: crea tu propio logotipo de fútbol en línea
  3. Crea tu primer sitio web con
  4. Registro de Dominio .law | Comprar nombre de dominio .law

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...