Decodificador de certificados X.509
Decodifica un certificado X.509 en su sujeto, emisor, validez, SAN, detalles de clave y huellas digitales, analizado en tu navegador.
El decodificador de certificados X.509 analiza tu certificado y calcula sus huellas SHA-1 y SHA-256 por completo en tu navegador. El PEM o DER que pegas nunca sale de tu dispositivo y nada se sube a ArrayKit.
Abre el comparador de certificado y clave
Acerca de Decodificador X.509
El decodificador de certificados X.509 convierte un certificado en bruto en los detalles que necesitas para confiar en él o depurarlo. Pega un bloque PEM, o DER suministrado como base64 o hex, y despliega los nombres distinguidos del sujeto y del emisor, la ventana notBefore/notAfter con un estado claro de válido, por caducar o caducado, el número de serie, cada nombre alternativo del sujeto (SAN: DNS, IP, correo, URI), los propósitos de uso de clave y uso de clave extendido, el algoritmo de firma, y el tipo y tamaño de la clave pública (bits RSA o curva EC). También calcula las huellas SHA-1 y SHA-256 para que puedas compararlas con una huella conocida. Pensado para desarrolladores y SRE que verifican certificados TLS, cadenas incongruentes y endpoints por caducar. El análisis y el cálculo de huellas ocurren en tu dispositivo: el certificado que pegas nunca se sube.
Características
- Acepta certificados PEM o DER suministrados como base64 o hex
- Muestra los nombres distinguidos del sujeto y del emisor y el número de serie
- Muestra la ventana de validez con estado válido, por caducar pronto o caducado
- Lista cada nombre alternativo del sujeto: hosts DNS, IP, correos y URI
- Decodifica el uso de clave y el uso de clave extendido en propósitos legibles
- Informa el algoritmo de firma y el tipo y tamaño de la clave pública (bits RSA o curva EC)
- Calcula las huellas SHA-1 y SHA-256 localmente con la Web Crypto API
- Señala de un vistazo los certificados autofirmados y de CA
Cómo usar Decodificador X.509
- Copia un certificado en forma PEM (-----BEGIN CERTIFICATE-----) o DER como base64/hex
- Pégalo en el cuadro de entrada
- Lee el sujeto, emisor, validez, SAN y detalles de clave decodificados
- Copia la huella SHA-256 para compararla con una huella esperada
Ejemplo
Entrada
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
Salida
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
Un certificado PEM decodificado en sujeto, validez, SAN, clave y huella.
Errores comunes y solución de problemas
- El decodificador dice que la entrada no es Base64 válido. — Pega todo el bloque PEM incluidas las líneas BEGIN/END, o si tienes bytes DER, pégalos como base64 o hex limpios sin caracteres extra.
- Informa 'This does not look like an X.509 certificate.' — Puede que hayas pegado una clave privada, un CSR o un archivo PKCS#12. Esta herramienta solo decodifica certificados: extrae primero el certificado, o usa la herramienta correspondiente para claves y CSR.
- La validez muestra caducado pero el sitio aún carga en un navegador. — Puede que estés decodificando un certificado intermedio o raíz en lugar del final, o una copia en caché. Decodifica el certificado exacto que el servidor presenta para el nombre de host.
- La huella SHA-256 no coincide con la que muestra tu monitorización. — Las huellas se calculan sobre todo el certificado (DER). Una huella distinta significa un certificado distinto: confirma que copiaste el correcto, no un cert renovado o reemitido.
Preguntas frecuentes
- ¿Qué formatos de certificado puede leer este decodificador?
- Lee certificados PEM (el bloque Base64 entre -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----) y bytes DER en bruto suministrados como base64 o hex. Decodifica certificados finales, intermedios y raíz del mismo modo.
- ¿Cómo sé si un certificado ha caducado?
- El decodificador muestra las fechas notBefore y notAfter y un distintivo de estado: válido dentro de la ventana, por caducar pronto cuando quedan menos de 30 días, y caducado una vez que ha pasado notAfter. También muestra cuántos días quedan.
- ¿De dónde vienen los nombres alternativos del sujeto?
- Vienen de la extensión SAN del certificado. La herramienta lista cada entrada con su tipo —nombre de host DNS, dirección IP, correo o URI— que es lo que los navegadores comparan realmente con la dirección que visitas.
- ¿Para qué sirven las huellas SHA-1 y SHA-256?
- Una huella es un hash de todo el certificado, así que identifica de forma única ese cert exacto. La comparas con un valor publicado por una CA o tu monitorización para confirmar que estás viendo el certificado correcto.
- ¿Puede decodificar un certificado de curva elíptica, no solo RSA?
- Sí. Para RSA informa el tamaño del módulo en bits; para EC informa la curva con nombre como P-256 o P-384. El algoritmo de firma (por ejemplo SHA256withRSA o SHA256withECDSA) se muestra por separado.
- ¿Se envía a un servidor el certificado que pego?
- No. El decodificador de certificados X.509 analiza el certificado y calcula sus huellas por completo en tu navegador usando la Web Crypto API. El PEM o DER que pegas permanece en tu dispositivo.
Herramientas relacionadas
Todas las herramientas de ArrayKit