SSL/TLS証明書デコーダー

SSL/TLS証明書の検証は、信頼の連鎖モデルに従います。ブラウザがウェブサイトに接続すると、サーバーは証明書を提示します。ブラウザは、証明書が信頼された認証局（CA）によって署名されていること、ドメイン名が一致していること、および証明書が期限切れまたは失効していないことを確認します。CAの証明書は、さらに上位のCAによって署名され、オペレーティングシステムまたはブラウザに事前にインストールされたルートCAで終わるチェーンを形成します。このチェーンのいずれかのリンクが壊れているか信頼されていない場合、接続は拒否されます。

DER（Distinguished Encoding Rules）は、証明書をエンコードするためのバイナリ形式であり、コンパクトですが人間が読めるものではありません。PEM（Privacy Enhanced Mail）は、Base64でエンコードされ、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」のヘッダーで囲まれたDERデータです。PEMは、テキストで安全にコピーして貼り付けたり、設定ファイルに埋め込んだり、電子メールで送信したりできるため、より一般的です。ほとんどのツールやサーバーはPEM形式を受け入れますが、DERは一部のJavaキーストアやWindows証明書ストアで使用されます。

X.509は、公開鍵証明書の標準形式です。CN（Common Name）は、履歴的には証明書が発行されたドメイン名を保持していましたが、最新の証明書では代わりにSANが使用されます。SAN（Subject Alternative Name）は、証明書がカバーするすべてのドメインとIPアドレスをリストし、1つの証明書で複数のドメインをサポートします。基本制約拡張機能のCA（Certificate Authority）フラグは、証明書が他の証明書に署名できるかどうかを示します。その他の重要なフィールドには、有効期間、キー使用制限、および使用される署名アルゴリズムが含まれます。