Passwort-Check
Passwortstärke prüfen
SSL-Zertifikatsketten analysieren – PEM-Zertifikate parsen, Ketten-Reihenfolge prüfen und Probleme erkennen. 100% lokal im Browser.
PEM-kodierte Zertifikate einfügen, Kette analysieren, Reihenfolge prüfen und Probleme erkennen.
Verwenden Sie folgenden Befehl, um die SSL-Kette eines Servers abzurufen:
openssl s_client -connect example.com:443 -showcerts </dev/null 2>/dev/null | sed -n '/-----BEGIN/,/-----END/p'
Ersetzen Sie example.com durch Ihre Domain. Die Ausgabe kann direkt in das Eingabefeld oben eingefügt werden.
Das Intermediate-Zertifikat fehlt. Der Server liefert nur das Leaf-Zertifikat, aber nicht die Zwischenzertifikate. Browser können die Kette nicht verifizieren.
Die Zertifikate sind in der falschen Reihenfolge. Korrekt: Leaf-Zertifikat zuerst, dann Intermediates, optional Root CA am Ende.
Ein Zertifikat in der Kette ist abgelaufen. Dies kann das Leaf-Zertifikat oder ein Intermediate betreffen – beides führt zu Fehlern.
Ihre Zertifikate werden ausschließlich lokal in Ihrem Browser analysiert. Keine Daten werden an Server übertragen.
Alle Zertifikate werden ausschließlich in Ihrem Browser verarbeitet. Es werden keine Daten auf unsere Server hochgeladen. Die Verarbeitung erfolgt komplett lokal auf Ihrem Gerät – Ihre Zertifikate verlassen niemals Ihren Computer.
Eine SSL-Zertifikatskette (Certificate Chain) ist eine geordnete Abfolge von Zertifikaten, die das Vertrauen von einem End-Zertifikat (Leaf) über Zwischenzertifikate (Intermediates) bis zu einer Root-CA herstellt. Der Browser vertraut der Root-CA und kann so über die Kette die Echtheit Ihrer Website verifizieren.
Eine Root-CA (Certificate Authority) ist die oberste Vertrauensinstanz, deren Zertifikat in Betriebssystemen und Browsern vorinstalliert ist. Sie signiert selten direkt End-Zertifikate, sondern delegiert an Intermediate-CAs. Diese Zwischenzertifikate stellen die eigentlichen SSL-Zertifikate aus. So wird die Root-CA geschützt – wird ein Intermediate kompromittiert, kann es widerrufen werden, ohne die Root zu beeinträchtigen.
Die korrekte Reihenfolge ist entscheidend: Das End-Zertifikat (Leaf) muss an erster Stelle stehen, gefolgt von den Intermediate-Zertifikaten, und optional das Root-Zertifikat am Ende. Server, die Zertifikate in falscher Reihenfolge liefern, verursachen Verbindungsfehler bei vielen Clients – insbesondere bei älteren Systemen und mobilen Geräten, die keine automatische Ketten-Korrektur durchführen.
Eine unvollständige Kette liegt vor, wenn der Webserver nicht alle Intermediate-Zertifikate mitliefert. Manche Browser (Chrome, Firefox) können fehlende Intermediates automatisch herunterladen, andere nicht. Das Ergebnis: Die Seite funktioniert in manchen Browsern, in anderen erscheint eine Sicherheitswarnung. Dieses Tool erkennt solche Lücken in der Kette.
Cross-Signed Certificates sind Zertifikate, die von mehreren Root-CAs signiert wurden. Dies wird häufig von neueren CAs (wie Let's Encrypt) genutzt, um Kompatibilität mit älteren Systemen sicherzustellen. Das Cross-Signed-Zertifikat schafft einen alternativen Vertrauenspfad über eine ältere, bereits etablierte Root-CA.
Certificate Pinning (HPKP) bindet eine Domain an bestimmte Zertifikate oder Public Keys. So wird verhindert, dass ein Angreifer mit einem gültigen, aber gefälschten Zertifikat einen Man-in-the-Middle-Angriff durchführt. HPKP via HTTP-Header wird heute allerdings kaum noch verwendet, da Fehlkonfigurationen zu kompletten Ausfällen führen können. Moderne Alternativen sind Certificate Transparency und Expect-CT.
OCSP Stapling ermöglicht dem Webserver, den Widerrufsstatus seines Zertifikats direkt mitzuliefern. Statt dass der Browser den OCSP-Server der CA kontaktiert, stellt der Webserver eine zeitgestempelte, signierte OCSP-Antwort bereit. Das verbessert die Performance und schützt die Privatsphäre der Besucher, da kein Kontakt zur CA nötig ist.
Der Browser prüft bei jeder HTTPS-Verbindung: 1) Ist das Zertifikat für die aufgerufene Domain ausgestellt? 2) Ist die Zertifikatskette bis zu einer vertrauenswürdigen Root-CA lückenlos? 3) Ist kein Zertifikat abgelaufen? 4) Wurde kein Zertifikat widerrufen (CRL/OCSP)? 5) Stimmt der Signaturalgorithmus? Schlägt eine Prüfung fehl, zeigt der Browser eine Warnung an.
PEM (Privacy Enhanced Mail) ist ein textbasiertes Format mit Base64-Kodierung, eingerahmt von „-----BEGIN CERTIFICATE-----" und „-----END CERTIFICATE-----". DER (Distinguished Encoding Rules) ist das binäre Rohformat. PEM ist einfach ein Base64-kodiertes DER mit Header/Footer. Die meisten Webserver und Tools verwenden PEM, da es sich einfach kopieren und in Textdateien speichern lässt.
Unvollständige Kette: Laden Sie die Intermediate-Zertifikate Ihrer CA herunter und fügen Sie diese in die Server-Konfiguration ein. Falsche Reihenfolge: Ordnen Sie die Zertifikate korrekt: Leaf zuerst, dann Intermediates. Abgelaufenes Intermediate: Laden Sie das aktuelle Intermediate-Zertifikat von Ihrer CA herunter. Selbstsigniertes Zertifikat: Verwenden Sie ein Zertifikat einer vertrauenswürdigen CA (z.B. Let's Encrypt). Bei Apache: SSLCertificateChainFile, bei Nginx: Zertifikate in ssl_certificate verketten.
Wir konfigurieren Ihre SSL-Zertifikate korrekt – inklusive Chain-Setup, HSTS und OCSP Stapling.
SSL-Support anfragenAlle Dateien werden ausschließlich in Ihrem Browser verarbeitet. Es werden keine Daten auf unsere Server hochgeladen. Die Verarbeitung erfolgt komplett lokal auf Ihrem Gerät – Ihre Dateien verlassen niemals Ihren Computer.
Wir richten HTTPS korrekt ein, reparieren unvollständige Zertifikatsketten und sorgen für sichere, vertrauenswürdige Verbindungen – ohne Browser-Warnungen.
Kontakt aufnehmen