KernelHost Tools SSL Checker

Kontrola SSL certifikátu

Zadejte doménu (nebo host:port) a okamžitě uvidíte, kdo vystavil certifikát, kdy vyprší, zda pokrývá váš hostname, a jak je sestaven řetěz certifikátů. Frankfurtský uzel, zdarma, bez registrace.

Zkontrolovat doménu
Rychlý test: kernelhost.com cloudflare.com github.com:443 expired.badssl.com

Co tento test kontroluje?

KernelHost SSL Checker stáhne server certifikát přes TLS handshake z našeho Frankfurtského uzlu a ukáže nejdůležitější pole, bez volání třetích stran. Kontroluje a zobrazuje následující:

  • Vystaven pro a kým: Common Name (Subject CN), úplné Subject DN, a Issuer (která CA podepsala certifikát).
  • Doba platnosti: Datum začátku a konce v UTC plus zbývající dny. Barevně rozlišeno: zelená (>30 dnů), oranžová (7 až 30 dnů), červená (méně než 7 dnů nebo již vypršelo).
  • Subject Alternative Names (SANs): Úplný seznam hostnames, které certifikát pokrývá, včetně wildcard záznamů.
  • Shoda hostname: Ověřuje, že zadaná doména je skutečně pokryta Common Name nebo SAN wildcard (RFC 6125).
  • Klíč a podpis: Algoritmus veřejného klíče (RSA, ECDSA), velikost klíče v bitech nebo název křivky, a algoritmus podpisu.
  • Fingerprints a sériové číslo: SHA-256 a SHA-1 fingerprint DER zakódovaného certifikátu plus hexadecimální sériové číslo.
  • Úplný řetěz: Všechny certifikáty, které server dodal během handshaku, se subject, issuer a rolí (leaf, intermediate, root).

Časté SSL chyby a co znamenají

Prohlížeče často zobrazují kryptické chyby jako NET::ERR_CERT_DATE_INVALID nebo SSL_ERROR_BAD_CERT_DOMAIN. Zde jsou nejčastější příčiny a jak je opravit:

  • Vypršelý certifikát: Datum notAfter je v minulosti. Prohlížeče stránku úplně blokují. Řešení: obnovte certifikát. S Let's Encrypt to probíhá automaticky každých 60 dnů přes certbot nebo acme.sh.
  • Neshoda hostname: Hostname není ani v Common Name ani v žádném SAN. Řešení: při novém vystavení přidejte každou potřebnou doménu a subdoménu jako SAN.
  • Self-signed nebo neznámá CA: Issuer není důvěryhodná root CA. Prohlížeče zobrazují NET::ERR_CERT_AUTHORITY_INVALID. Řešení: získejte certifikát od uznávané CA jako Let's Encrypt, ZeroSSL, Sectigo nebo DigiCert.
  • Neúplný řetěz: Server posílá pouze leaf certifikát bez intermediates. Mobilní prohlížeče a starší zařízení selhávají. Řešení: nakonfigurujte úplný řetěz (fullchain.pem) ve webovém serveru.
  • Slabý klíč nebo slabý podpis: RSA pod 2048 bit nebo SHA-1 podpisy už nejsou akceptovány. Řešení: vystavte znovu s RSA 2048+ nebo ECDSA P-256.
  • Mixed content a past HSTS: Pokud jste dříve poslali platnou HSTS hlavičku a certifikát pak vyprší, návštěvníci nemohou prokliknout varování. Okamžitá akce: obnovit certifikát; v nouzi snížit HSTS max-age.

Let's Encrypt vs. komerční certifikáty

Let's Encrypt je bezplatná, automatizovaná CA provozovaná ISRG. Certifikáty jsou technicky identické s komerčními DV certifikáty a důvěřují jim všechny moderní prohlížeče.

Kdy má placený certifikát smysl? Vlastně jen ve speciálních případech:

  • Extended Validation (EV): Dříve zobrazoval zelenou adresní lištu; dnes je sotva viditelný. Vyplatí se jen pro banky nebo obchodní platformy, pokud je to právně vyžadováno.
  • Wildcard bez DNS challenge: Let's Encrypt podporuje wildcards pouze přes DNS-01 challenge. Pokud nemáte API přístup k DNS, alternativami jsou ZeroSSL Premium nebo Sectigo.
  • Záruka a pojištění: Komerční CAs nabízejí pojistné částky v případě chybného vystavení. V praxi jen zřídka relevantní, ale některé compliance frameworky to vyžadují.

KernelHost Webhosting a cPanel obsahují bezplatnou integraci Let's Encrypt z výroby. Certifikáty se obnovují každých 60 dnů přes AutoSSL bez vašeho zásahu. Wildcard certifikáty přes DNS challenge jsou také možné, jakmile je doména hostovaná na KernelHost DNS.

TLS 1.2 vs. TLS 1.3

TLS 1.2 je standardem od 2008, TLS 1.3 byl publikován jako RFC 8446 v roce 2018 a je široce nasazen od 2020. Starší verze (SSL 3.0, TLS 1.0, TLS 1.1) jsou nezabezpečené a měly by být vypnuté ve vaší konfiguraci serveru.

Co dělá TLS 1.3 lépe:

  • Rychlejší handshake: 1-RTT místo 2-RTT, plus volitelné 0-RTT pro resumption. Znatelně rychlejší na TLS-heavy stránkách.
  • Čistší sada cipherů: Pouze 5 povolených AEAD cipher suites. Žádná RSA výměna klíčů, vždy forward secrecy.
  • Šifrovaný handshake: Server certifikát samotný se přenáší šifrovaně. S ESNI/ECH je dokonce i SNI privátní.
  • Backwards-compatible: Servery mohou nabízet TLS 1.2 a 1.3 paralelně. Prohlížeče automaticky vyjednají nejvyšší společnou verzi.

Co znamená vypršelý certifikát?

Vypršelý SSL certifikát konkrétně znamená: prohlížeče zobrazí celoobrazovkové varování a zablokují stránku. Návštěvníci ve většině případů nemohou prokliknout, zvlášť když je aktivní HSTS hlavička.

Důsledky pro provozovatele:

  • Ztráta rankingu v Google (HTTPS je faktor rankingu a vyhodnocují se signály související s důvěrou).
  • Mail servery (MX/SMTP s STARTTLS) odmítají příchozí spojení; mail bouncne nebo je doručen se zpožděním.
  • API klienti a mobilní aplikace s certificate pinning selhávají a mohou potřebovat update aplikace.

HSTS, CAA a OCSP stapling

Platný certifikát je jen začátek. Tři další mechanismy zvedají TLS bezpečnost na best-practice úroveň:

  • HSTS (HTTP Strict Transport Security): Hlavička, která nutí prohlížeče používat od teď pouze HTTPS. Doporučení: max-age=63072000; includeSubDomains; preload (dva roky, všechny subdomény, preload list). Buďte opatrní při zapínání: chybná konfigurace není vratná, dokud max-age stále běží.
  • CAA (Certification Authority Authorization): DNS záznam definující, které CAs smí vystavovat certifikáty pro vaši doménu. Příklad: 'kernelhost.com. CAA 0 issue "letsencrypt.org"' brání chybnému vystavení jinými CAs.
  • OCSP stapling: Webový server dodává odpověď CA o stavu odvolání sám místo toho, aby se každý prohlížeč ptal CA zvlášť. Rychlejší pro návštěvníky a šetrnější k infrastruktuře CA. Apache: SSLUseStapling On, nginx: ssl_stapling on.

Soukromí

KernelHost SSL Checker běží zcela v našem Frankfurtském uzlu bez volání třetích stran:

  • Žádné předávání vašeho vstupu externím API (žádné SSL Labs, žádné Hardenize, žádné Cryptomon).
  • Žádné ukládání zkontrolované domény nad rámec standardního request loggingu (web-server log, 14denní retence).
  • Anti-SSRF filtr blokuje požadavky na privátní rozsahy IP, loopback a link-local adresy.
  • Rate limit per IP proti zneužití. Volitelná hCaptcha při odeslání.

FAQ o SSL certifikátech

Podporujete také non-standard porty?

Ano. Zadejte jako host:port, např. mail.example.com:993 pro IMAPS nebo vpn.example.com:8443. Výchozí port je 443.

Proč test ukazuje vypršelý certifikát, i když můj prohlížeč nevaruje?

Pravděpodobně váš webový server prezentuje per SNI jiný certifikát, než vidí test. Ověřte, že testujete správnou subdoménu a že server implementuje SNI čistě.

Proč test selhává pro mou interní doménu?

Checker běží ve Frankfurtu a může kontrolovat pouze veřejně dostupné hosty. Privátní IP (10.x, 192.168.x, 172.16-31.x), loopback a link-local jsou záměrně blokovány (ochrana před SSRF).

Jak často mám kontrolovat?

S automatizovaným obnovením (Let's Encrypt + cronjob) stačí jedna kontrola po setupu plus uptime monitoring. Bez automatizace ručně minimálně každých 30 dnů.

Mohu kontrolovat subdomény a mail servery?

Ano, podporován je libovolný hostname. Pro mail servery: smtp.example.com:25 nebo imap.example.com:993. Test provede čistý TLS handshake se správným SNI.

Co znamená oznámení 'self-signed certificate'?

Server podepsal vlastní certifikát sám místo použití důvěryhodné CA. Prohlížeče to neakceptují, ledaže uživatel ručně přidá certifikát do svého trust storu. Pro produkci vždy použijte skutečnou CA.

Jaké velikosti klíčů KernelHost doporučuje?

RSA 2048 bit jako minimum, RSA 3072 nebo 4096 bit pro dlouhodobé certifikáty, nebo ECDSA P-256, když záleží na výkonu (výrazně menší podpisy, rychlejší handshake). RSA 1024 nebo méně je už roky zakázáno a prohlížeče ho odmítají.

Jaký je rozdíl mezi DV, OV a EV?

DV (Domain Validation) potvrzuje pouze, že žadatel ovládá doménu (výchozí u Let's Encrypt). OV (Organization Validation) navíc prověřuje firmu (výpis z obchodního rejstříku). EV (Extended Validation) je nejpřísnější, s ověřením fyzické adresy. Od 2019 prohlížeče už nezobrazují vizuální rozdíl, takže DV stačí pro 99 % případů.

Všechny produkty KernelHost

Potřebujete víc než jen nástroje? Podívejte se na naši komerční nabídku hostingu.

KVM-Rootserver od 4,99 €/měs Dedicated-Server od 69,99 €/měs Minecraft-Server od 4,00 €/měs Webhosting od 3,99 €/měs Private VPN-Server Vyhrazená IP Ochrana DDoS 3,2 Tbps Arbor