TLS-Zertifikat-Checker

Certificate Transparency (RFC 6962) ist ein öffentliches Audit-Framework, das Zertifizierungsstellen verpflichtet, jedes ausgestellte TLS-Zertifikat in append-only-öffentliche Protokolle (CT-Protokolle) einzutragen. Browser verlangen, dass Zertifikate in mindestens 2 CT-Protokollen vorhanden sind, sonst zeigen sie Warnungen. Dieses Tool fragt crt.sh ab - einen öffentlichen CT-Protokoll-Aggregator - um für Ihre Domain ausgestellte Zertifikate zu finden, und zeigt dann Ablaufdatum, Aussteller, SANs und ob das Zertifikat noch aktiv ist.

Best Practice: bei noch 30 Tagen Restlaufzeit erneuern. Let's Encrypt erneuert automatisch bei 30 Tagen. Für manuell verwaltete Zertifikate erneuern Sie bei 45-60 Tagen, um Puffer für Validierungsprobleme zu haben. Die Branche bewegt sich in Richtung 90-taetige maximale Zertifikatslaufzeiten (bereits Standard bei Let's Encrypt). ACME-basierte automatische Erneuerung (Let's Encrypt, ZeroSSL) ist die empfohlene Lösung - manuelle Erneuerung ist fehleranfällig. Richten Sie Monitoring-Alarme bei 30 und 7 Tagen für kritische Dienste ein.

SANs sind die Liste von Domainnamen, die ein einzelnes TLS-Zertifikat abdeckt. Moderne Zertifikate müssen SANs verwenden (das Common-Name-Feld ist für Domain-Matching veraltet). Ein Wildcard-SAN wie *.example.com deckt alle Subdomains ab (api.example.com, www.example.com), aber nicht die Root-Domain (example.com) - daher enthalten Wildcard-Zertifikate typischerweise sowohl *.example.com als auch example.com. Multi-Domain (SAN)-Zertifikate können bis zu 250 verschiedene Domains abdecken.

Mehrere aktive Zertifikate sind gängig - es passiert, wenn Sie: (1) vor dem Ablauf erneuert haben (Überschneidungszeit), (2) zu einer neuen CA migriert sind, (3) mehrere Server/CDN-Edge-Knoten mit verschiedenen Zertifikaten haben, (4) Let's Encrypt bei jeder Erneuerung ein neues Zertifikat ausstellt. Dieses Tool markiert mehrere aktive Zertifikate als informativ. Es wird problematisch, wenn alte Zertifikate breitere SANs haben als beabsichtigt, oder Zertifikate von CAs stammen, denen Sie nicht mehr vertrauen.

Optionen nach Infrastruktur: Cloudflare: Universal SSL oder Advanced Certificate Manager aktivieren - vollautomatisch. Let's Encrypt + Certbot: certbot renew via Cron/Systemd-Timer ausführen. AWS: ACM (AWS Certificate Manager) verwenden - kostenlos und auto-erneuernd. Nginx/Apache auf Linux: Certbot regelt Installation und Erneuerung automatisch. Docker: Traefik oder Caddy verwenden - beide verwalten Zertifikate automatisch über ACME. Kubernetes: cert-manager-Operator mit Let's Encrypt. Vercel/Netlify/Railway: automatisch, keine Konfiguration noetig.