Was steckt in einem SSL-Zertifikat? So lesen Sie jedes Zertifikat mit einem Zertifikat-Decoder

Auf den ersten Blick wirkt ein SSL/TLS-Zertifikat wie ein unleserlicher Textblock. Tatsächlich stehen darin Ihr Domainname, wer es ausgestellt hat, wann es gültig ist und vieles mehr in klarer Struktur. Um diese Informationen sichtbar zu machen, brauchen Sie nur einen Zertifikat-Decoder (certificate decoder). In diesem Artikel erklären wir in einfacher Sprache, was genau in einem Zertifikat steckt, wofür jedes Feld da ist und wann Sie Ihr eigenes Zertifikat decodieren sollten.

Was ist ein Zertifikat-Decoder?

Ein Zertifikat-Decoder ist ein Werkzeug, das ein PEM-Zertifikat (den Text, der mit -----BEGIN CERTIFICATE----- beginnt) entgegennimmt und alle enthaltenen Felder lesbar darstellt. Besonders wichtig: Unser Zertifikat-Decoder läuft zu 100% in Ihrem Browser, Ihr Zertifikat bleibt in Ihrem Browser und wird auf keinen Server hochgeladen. Das ist für den Datenschutz entscheidend, denn ein Zertifikat kann Details über Ihre Domains und Infrastruktur verraten.

Die Felder in einem SSL-Zertifikat

Subject (Inhaber)

Das Subject sagt Ihnen, wen das Zertifikat repräsentiert. Das wichtigste Feld ist der CN (Common Name), also der primäre Domainname. Weitere Felder sind O (Organisation), OU (Abteilung), L (Ort/Stadt), ST (Bundesland) und C (Ländercode). Kostenlose Zertifikate wie Let's Encrypt enthalten meist nur den CN, ohne Organisationsangaben.

Issuer (Aussteller)

Der Issuer zeigt, wer das Zertifikat signiert hat, also welche Zertifizierungsstelle (CA) es ausgestellt hat. Bei Let's Encrypt-Zertifikaten ist der Issuer meist ein Let's Encrypt-Zwischenzertifikat. Der Unterschied zwischen Subject und Issuer ist wichtig: Das Subject ist Ihre Website, der Issuer die vertrauenswürdige Instanz, die dafür bürgt. Sind beide identisch, halten Sie ein selbstsigniertes Zertifikat in Händen.

Gültigkeit (Validity)

Jedes Zertifikat hat ein Startdatum (not before) und ein Enddatum (not after). Außerhalb dieses Fensters ist das Zertifikat ungültig und Browser zeigen eine Warnung. Let's Encrypt-Zertifikate sind 90 Tage gültig, daher ist es wichtig, das Ablaufdatum im Blick zu behalten und rechtzeitig zu erneuern.

SANs (Subject Alternative Names)

Die SAN-Liste enthält alle Domainnamen, die das Zertifikat abdeckt. Moderne Browser prüfen nicht mehr nur den CN, sondern die SAN-Liste. Damit also example.com und www.example.com beide abgedeckt sind, müssen beide in den SANs stehen. Bei einem Wildcard-Zertifikat sehen Sie hier *.example.com.

Seriennummer und Signaturalgorithmus

Die Seriennummer ist die eindeutige Kennung, die die CA jedem Zertifikat zuweist; sie dient dazu, ein Zertifikat in Sperrlisten nachzuschlagen. Der Signaturalgorithmus zeigt, wie das Zertifikat signiert wurde; heute sehen Sie meist SHA-256 with RSA oder einen ECDSA-basierten Algorithmus.

Öffentlicher Schlüssel (Typ und Größe)

Der öffentliche Schlüssel ist die Grundlage der Verschlüsselung. Sein Typ kann RSA oder EC (elliptische Kurve) sein. Die Größe gibt die Stärke an: Bei RSA gilt 2048 Bit als sicheres Minimum, 4096 Bit ist stärker; ein ECDSA-Schlüssel mit 256 Bit bietet starken Schutz, der etwa RSA 3072 entspricht. Ein größerer Schlüssel ist nicht immer schneller, EC-Schlüssel liefern hohe Sicherheit bei kleiner Größe.

Fingerabdrücke (SHA-1 / SHA-256)

Ein Fingerabdruck ist eine eindeutige Prüfsumme über das gesamte Zertifikat. Er dient dazu zu bestätigen, dass zwei Parteien das gleiche Zertifikat besitzen. Beim Pinning in einer mobilen App oder beim Abgleich mit einem Support-Team vergleichen Sie zum Beispiel den SHA-256-Fingerabdruck. Da SHA-1 inzwischen als schwach gilt, bevorzugen Sie zur Verifizierung SHA-256.

Wann sollten Sie ein Zertifikat decodieren?

  • Um zu prüfen, was die CA ausgestellt hat: Bestätigen Sie, dass das erhaltene Zertifikat wirklich Ihre gewünschte Domain enthält.
  • Um SANs und Ablauf zu prüfen: Stellen Sie sicher, dass alle Subdomains abgedeckt sind und das Zertifikat nicht bald abläuft.
  • Um einen Fingerabdruck abzugleichen: Beweisen Sie, dass das Zertifikat auf dem Server das erwartete ist.
  • Bei der Fehlersuche: Diagnostizieren Sie Fehler wie "das falsche Zertifikat wird ausgeliefert".

So verwenden Sie es

  1. Öffnen Sie Ihre Zertifikatsdatei (.crt, .pem oder fullchain.pem) in einem Texteditor.
  2. Kopieren Sie den Block zwischen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.
  3. Fügen Sie ihn in den Zertifikat-Decoder ein und prüfen Sie die decodierten Felder.

Wenn Sie noch kein Zertifikat haben, können Sie mit unserem Zertifikat-erstellen-Assistenten in wenigen Minuten ein kostenloses 90-Tage-Zertifikat von Let's Encrypt anlegen und das Ergebnis anschließend mit dem Decoder überprüfen.

Zusammenfassung

Ein SSL-Zertifikat besteht aus Subject, Issuer, Gültigkeitsfenster, SANs, Seriennummer, Signaturalgorithmus, öffentlichem Schlüssel und Fingerabdrücken. Das Lesen dieser Felder erfordert kein Spezialwissen, sondern nur das richtige Werkzeug. Ein Zertifikat-Decoder zeigt all diese Informationen in Sekunden und mit vollem Datenschutz, denn Ihr Zertifikat bleibt in Ihrem Browser. Decodieren Sie Ihr Zertifikat vor dem Erneuern, Ausrollen oder Beheben von Problemen kurz, um sicherzugehen, dass alles stimmt.