Decodificador de Certificado X.509
Decodifique um certificado X.509 para seu subject, issuer, validade, SANs, detalhes de chave e fingerprints — analisado no seu navegador.
O Decodificador de Certificado X.509 analisa seu certificado e calcula seus fingerprints SHA-1 e SHA-256 inteiramente no seu navegador. O PEM ou DER que você cola nunca sai do seu dispositivo e nada é enviado à ArrayKit.
Abrir o Verificador de Certificado e Chave
Sobre Decodificador X.509
O Decodificador de Certificado X.509 transforma um certificado bruto nos detalhes que você precisa para confiar nele ou depurá-lo. Cole um bloco PEM, ou DER fornecido como base64 ou hex, e ele apresenta os nomes distintos de subject e issuer, a janela notBefore/notAfter com um status claro de válido, expirando ou expirado, o número de série, cada Subject Alternative Name (DNS, IP, e-mail, URI), os propósitos de uso de chave e uso estendido de chave, o algoritmo de assinatura, e o tipo e tamanho da chave pública (bits RSA ou curva EC). Ele também calcula os fingerprints SHA-1 e SHA-256 para você comparar com um thumbprint conhecido. Feito para desenvolvedores e SREs verificando certificados TLS, cadeias incompatíveis e endpoints expirando. A análise e o fingerprinting acontecem no seu dispositivo — o certificado que você cola nunca é enviado.
Recursos
- Aceita certificados PEM ou DER fornecidos como base64 ou hex
- Mostra os nomes distintos de subject e issuer e o número de série
- Exibe a janela de validade com status válido, expirando em breve ou expirado
- Lista cada Subject Alternative Name — hosts DNS, IPs, e-mails e URIs
- Decodifica o uso de chave e o uso estendido de chave em propósitos legíveis
- Informa o algoritmo de assinatura e o tipo e tamanho da chave pública (bits RSA ou curva EC)
- Calcula os fingerprints SHA-1 e SHA-256 localmente com a Web Crypto API
- Sinaliza certificados autoassinados e de CA de relance
Como usar Decodificador X.509
- Copie um certificado em forma PEM (-----BEGIN CERTIFICATE-----) ou DER como base64/hex
- Cole-o na caixa de entrada
- Leia o subject, issuer, validade, SANs e detalhes de chave decodificados
- Copie o fingerprint SHA-256 para comparar com um thumbprint esperado
Exemplo
Entrada
-----BEGIN CERTIFICATE-----
MIIDWjCCAkKgAwIBAgIGChssPU5f...
-----END CERTIFICATE-----
Saída
Subject: CN=example.com, O=Example Inc, C=US
Validity: 2024-01-01 → 2025-01-01 (valid)
SANs: DNS example.com, DNS www.example.com, IP 127.0.0.1
Key: RSA 2048-bit · SHA256withRSA
SHA-256: FA:5D:BB:50:F9:9E:1A:55:...
Um certificado PEM decodificado em subject, validade, SANs, chave e fingerprint.
Erros comuns e solução de problemas
- O decodificador diz que a entrada não é Base64 válido. — Cole o bloco PEM inteiro incluindo as linhas BEGIN/END, ou se você tem bytes DER, cole-os como base64 ou hex limpos sem caracteres extras.
- Ele informa 'This does not look like an X.509 certificate.' — Você pode ter colado uma chave privada, um CSR ou um arquivo PKCS#12. Esta ferramenta decodifica apenas certificados — extraia o certificado primeiro, ou use a ferramenta correspondente para chaves e CSRs.
- A validade mostra expirado mas o site ainda carrega no navegador. — Você pode estar decodificando um certificado intermediário ou raiz em vez do folha, ou uma cópia em cache. Decodifique o certificado exato que o servidor apresenta para o hostname.
- O fingerprint SHA-256 não corresponde ao que o seu monitoramento mostra. — Fingerprints são sobre o certificado inteiro (DER). Um fingerprint diferente significa um certificado diferente — confirme se você copiou o correto, não um cert renovado ou reemitido.
Perguntas frequentes
- Quais formatos de certificado este decodificador consegue ler?
- Ele lê certificados PEM (o bloco Base64 entre -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----) e bytes DER brutos fornecidos como base64 ou hex. Ele decodifica certificados folha, intermediário e raiz do mesmo jeito.
- Como sei se um certificado expirou?
- O decodificador mostra as datas notBefore e notAfter e um selo de status: válido dentro da janela, expirando em breve quando restam menos de 30 dias, e expirado quando notAfter passou. Ele também mostra quantos dias faltam.
- De onde vêm os Subject Alternative Names?
- Eles vêm da extensão SAN do certificado. A ferramenta lista cada entrada com seu tipo — hostname DNS, endereço IP, e-mail ou URI — que é o que os navegadores realmente comparam com o endereço que você visita.
- Para que servem os fingerprints SHA-1 e SHA-256?
- Um fingerprint é um hash do certificado inteiro, então identifica de forma única aquele cert exato. Você o compara com um valor publicado por uma CA ou pelo seu monitoramento para confirmar que está olhando para o certificado certo.
- Ele consegue decodificar um certificado de curva elíptica, não só RSA?
- Sim. Para RSA ele informa o tamanho do módulo em bits; para EC ele informa a curva nomeada como P-256 ou P-384. O algoritmo de assinatura (por exemplo SHA256withRSA ou SHA256withECDSA) é mostrado separadamente.
- O certificado que eu colo é enviado a um servidor?
- Não. O Decodificador de Certificado X.509 analisa o certificado e calcula seus fingerprints inteiramente no seu navegador usando a Web Crypto API. O PEM ou DER que você cola fica no seu dispositivo.
Ferramentas relacionadas
- Verificador de Certificado e Chave — Verifique se um certificado SSL e uma chave privada formam um par, com fingerprints da chave pública.
- Extrator PFX para PEM — Abra um arquivo .pfx/.p12 protegido por senha e divida-o em blocos PEM de certificado, cadeia e chave.
- Gerador de chaves SSH — Gere pares de chaves SSH Ed25519, RSA ou ECDSA no seu navegador e baixe-as.
- Decodificador de JWT — Decodifique o cabeçalho e o payload de um JWT e inspecione exp/iat (sem verificação).
- Gerador de hash — SHA-256 / SHA-1 / SHA-384 / SHA-512 via Web Crypto API.
- Gerador de CSP — Monte um cabeçalho Content-Security-Policy diretiva por diretiva, com trechos prontos, no navegador.
Todas as ferramentas de ArrayKit