Décodeur de certificat X.509
Décodez un certificat X.509 pour obtenir son sujet, son émetteur, sa validité, ses SAN, les détails de la clé et ses empreintes — analysé dans votre navigateur.
Le décodeur de certificat X.509 analyse votre certificat et calcule ses empreintes SHA-1 et SHA-256 entièrement dans votre navigateur avec la Web Crypto API. Le PEM ou DER que vous collez ne quitte jamais votre appareil et rien n'est téléversé vers ArrayKit.
Ouvrir le vérificateur de correspondance certificat et clé
À propos de Décodeur de certificat X.509
Le décodeur de certificat X.509 transforme un certificat brut en les détails dont vous avez besoin pour lui faire confiance ou le déboguer. Collez un bloc PEM, ou du DER fourni en base64 ou hexadécimal, et il présente les noms distinctifs du sujet et de l'émetteur, la fenêtre notBefore/notAfter avec un statut clair valide, en expiration ou expiré, le numéro de série, chaque Subject Alternative Name (DNS, IP, email, URI), les finalités d'usage de la clé et d'usage étendu de la clé, l'algorithme de signature, ainsi que le type et la taille de la clé publique (bits RSA ou courbe EC). Il calcule aussi les empreintes SHA-1 et SHA-256 pour que vous puissiez comparer à une empreinte connue. Conçu pour les développeurs et SRE qui vérifient des certificats TLS, des chaînes incohérentes et des points de terminaison en expiration. L'analyse et le calcul des empreintes se font sur votre appareil — le certificat que vous collez n'est jamais téléversé.
Fonctionnalités
- Accepte les certificats PEM ou le DER fourni en base64 ou hexadécimal
- Affiche les noms distinctifs du sujet et de l'émetteur et le numéro de série
- Montre la fenêtre de validité avec un statut valide, bientôt expiré ou expiré
- Liste chaque Subject Alternative Name — hôtes DNS, IP, emails et URI
- Décode l'usage de la clé et l'usage étendu de la clé en finalités lisibles
- Indique l'algorithme de signature et le type et la taille de la clé publique (bits RSA ou courbe EC)
- Calcule les empreintes SHA-1 et SHA-256 localement avec la Web Crypto API
- Signale d'un coup d'œil les certificats auto-signés et d'autorité de certification
Comment utiliser Décodeur de certificat X.509
- Copiez un certificat en forme PEM (-----BEGIN CERTIFICATE-----) ou du DER en base64/hexadécimal
- Collez-le dans la zone de saisie
- Lisez le sujet, l'émetteur, la validité, les SAN et les détails de la clé décodés
- Copiez l'empreinte SHA-256 pour la comparer à une empreinte attendue
Exemple
Entrée
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
Sortie
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
Un certificat PEM décodé en sujet, validité, SAN, clé et empreinte.
Erreurs courantes et dépannage
- Le décodeur indique que l'entrée n'est pas un Base64 valide. — Collez tout le bloc PEM y compris les lignes BEGIN/END, ou si vous avez des octets DER, collez-les en base64 ou hexadécimal propre sans caractères superflus.
- Il signale « Cela ne ressemble pas à un certificat X.509. » — Vous avez peut-être collé une clé privée, une CSR ou un fichier PKCS#12. Cet outil décode uniquement des certificats — extrayez d'abord le certificat, ou utilisez l'outil adapté aux clés et aux CSR.
- La validité indique expiré mais le site se charge encore dans un navigateur. — Vous décodez peut-être un certificat intermédiaire ou racine plutôt que le certificat feuille, ou une copie en cache. Décodez le certificat exact que le serveur présente pour le nom d'hôte.
- L'empreinte SHA-256 ne correspond pas à celle qu'affiche votre supervision. — Les empreintes portent sur tout le certificat (DER). Une empreinte différente signifie un certificat différent — confirmez que vous avez copié le bon, pas un certificat renouvelé ou réémis.
Foire aux questions
- Quels formats de certificat ce décodeur peut-il lire ?
- Il lit les certificats PEM (le bloc Base64 entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----) et les octets DER bruts fournis en base64 ou hexadécimal. Il décode les certificats feuille, intermédiaires et racine de la même façon.
- Comment savoir si un certificat a expiré ?
- Le décodeur affiche les dates notBefore et notAfter et un badge de statut : valide à l'intérieur de la fenêtre, bientôt expiré quand il reste moins de 30 jours, et expiré une fois notAfter passé. Il indique aussi combien de jours restent.
- D'où viennent les Subject Alternative Names ?
- Ils proviennent de l'extension SAN du certificat. L'outil liste chaque entrée avec son type — nom d'hôte DNS, adresse IP, email ou URI — ce que les navigateurs comparent réellement à l'adresse que vous visitez.
- À quoi servent les empreintes SHA-1 et SHA-256 ?
- Une empreinte est un hachage de tout le certificat, elle identifie donc de façon unique ce certificat exact. Vous la comparez à une valeur publiée par une autorité de certification ou par votre supervision pour confirmer que vous regardez le bon certificat.
- Peut-il décoder un certificat à courbe elliptique, pas seulement RSA ?
- Oui. Pour RSA il indique la taille du module en bits ; pour EC il indique la courbe nommée telle que P-256 ou P-384. L'algorithme de signature (par exemple SHA256withRSA ou SHA256withECDSA) est affiché séparément.
- Le certificat que je colle est-il envoyé à un serveur ?
- Non. Le décodeur de certificat X.509 analyse le certificat et calcule ses empreintes entièrement dans votre navigateur avec la Web Crypto API. Le PEM ou DER que vous collez reste sur votre appareil.
Outils associés
- Vérificateur certificat / clé privée — Vérifiez si un certificat SSL et une clé privée vont ensemble, avec les empreintes de clé publique, dans votre navigateur.
- Extracteur PFX vers PEM — Ouvrez un fichier .pfx/.p12 protégé par mot de passe et divisez-le en blocs PEM de certificat, de chaîne et de clé privée.
- Générateur de clés SSH — Génère des paires de clés SSH Ed25519, RSA ou ECDSA dans votre navigateur et téléchargez-les.
- Décodeur de JWT — Décode l’en-tête et la charge utile d’un JWT et inspecte exp/iat (sans vérification).
- Générateur de hachage — SHA-256 / SHA-1 / SHA-384 / SHA-512 via l’API Web Crypto.
- Générateur CSP — Construit un en-tête Content-Security-Policy avec extraits meta, nginx et Apache.
Tous les outils ArrayKit