Mascote facil.ink
ssldecoder.facil.ink X.509 • PEM/Base64 Rápido • Gratuito

Decodificador de Certificado SSL

Cole um certificado PEM ou Base64 (ou a cadeia completa) e veja tudo de forma amigável — com exportação em JSON. Processamento no request (não armazenamos por padrão).

Exibimos datas em UTC. Host: ssldecoder.facil.ink • 12/01/2026 06:30:30
Requisito: extensão openssl habilitada no PHP.
Patrocinado
Publicidade
Conhecer o facil.ink Faça login para usar o Encurtador Faça login para usar o NPS Ir para o SSL Checker

Atalhos rápidos

Encurtador NPS Lead Capture Landing Pages Meu IP Crypto Trade Signals
Dica rápida
Publicidade
Dica: para validar o domínio ao vivo (cert + cadeia), use o SSL Checker.

Entenda o SSL Decoder (certificados X.509)

Guia rápido

Quando um site abre em HTTPS, a conexão usa TLS (popularmente chamado de “SSL”). O servidor apresenta um certificado digital (padrão X.509) para provar que aquele domínio é realmente quem diz ser — e para permitir a troca segura de chaves que criptografam o tráfego. O SSL Decoder ajuda você a ler os campos do certificado (e de uma cadeia, quando você cola mais de um), de forma organizada.

O que existe dentro de um certificado?

  • Subject: “quem é” o certificado (empresa/organização) e, principalmente, o(s) domínio(s).
  • Issuer: “quem emitiu” (a Autoridade Certificadora/CA).
  • Validade: datas Not Before / Not After (quando começa e quando expira).
  • Public Key: tipo (RSA/EC) e tamanho (bits). Isso influencia compatibilidade e segurança.
  • Extensões: regras e usos, como Subject Alternative Name (SAN), Key Usage, Basic Constraints.
  • Fingerprints: hashes (SHA-256/SHA-1) usados para identificar o certificado de forma única.

CN vs SAN (o que realmente valida o domínio)

Antigamente, o navegador validava muito pelo CN (Common Name). Hoje, o padrão é validar pelo SAN (Subject Alternative Name), que lista um ou mais domínios.

  • SAN deve conter exatamente o domínio acessado (ou um wildcard compatível, como *.exemplo.com).
  • Se o domínio não está no SAN, você verá erros do tipo hostname mismatch.
  • Em ambientes corporativos, é comum um único certificado cobrir vários subdomínios via SAN.

PEM, Base64 e cadeia de certificados

  • PEM: é o formato de texto com cabeçalho/rodapé (BEGIN CERTIFICATE) e conteúdo em Base64.
  • DER: formato binário (muito usado em arquivos .cer/.der), equivalente ao mesmo conteúdo.
  • Cadeia: normalmente inclui o certificado do site (leaf) + intermediários. O root geralmente já existe no sistema/navegador.
  • Se você colar vários certificados (PEM concatenado), o decoder consegue interpretar e classificar papéis (leaf/intermediate/root quando possível).

Por que “cadeia incompleta” dá problema?

Se o servidor não entrega os intermediários corretos, o navegador pode não conseguir montar a confiança até uma CA raiz. Isso gera erros como certificate chain incomplete ou unable to get local issuer certificate.

  • O correto é servir a cadeia completa (leaf + intermediários), principalmente em Nginx/Apache/IIS.
  • Em CDNs e proxies, a cadeia também precisa estar consistente.
  • Para checar o domínio ao vivo, use o SSL Checker.

Erros comuns (e o que olhar no certificado)

  • Expirado: verifique Valid To e os dias restantes.
  • Hostname mismatch: confira o SAN (e se o wildcard cobre o subdomínio).
  • CA inválida: o emissor não é confiável ou a cadeia está incompleta.
  • Algoritmo fraco: chaves pequenas ou hashes antigos. Prefira SHA-256 e chaves adequadas (RSA 2048+ ou ECDSA).
  • Certificado “de teste” em produção: Subject/Issuer denunciam rapidamente (ex.: CN genérico, CA interna).

Boas práticas rápidas

  • Mantenha renovação automatizada (ex.: ACME/Let’s Encrypt) e monitore a expiração.
  • Evite servir a chave privada junto do certificado (parece óbvio, mas acontece).
  • Use fullchain quando necessário (leaf + intermediários) — especialmente no Nginx.
  • Padronize inventário de certificados e registre fingerprints SHA-256 em ambientes críticos.
  • Para diagnóstico completo (domínio, SNI, cadeia servida), use o SSL Checker.

Perguntas frequentes

Sim. Se o conteúdo for um Base64 válido de certificado, a ferramenta tenta envelopar no formato PEM automaticamente. Se você tiver o PEM completo, melhor ainda (fica mais fácil identificar múltiplos certificados na cadeia).

O SSL Decoder lê e organiza os campos de um certificado (ou cadeia) que você colou. O SSL Checker verifica o certificado de um domínio ao vivo (handshake TLS, cadeia servida, datas, etc.).

Por padrão moderno, o campo SAN é o local correto para listar domínios. Isso melhora compatibilidade e padronização. Muitos navegadores já não aceitam CN sozinho para validação de hostname.

Indica que aquele certificado é de uma Autoridade Certificadora (CA) e pode emitir outros certificados. Em uma cadeia, o leaf (do site) normalmente não é CA, enquanto intermediários/roots são.

Dica: se você está resolvendo um erro de HTTPS, normalmente basta checar SAN, validez e cadeia.

Promoção
Publicidade
© 2026 facil.ink SSL Decoder
Feito para ser rápido, bonito e reutilizável nas suas ferramentas.