Décodeur de certificat

Q: Puis-je décoder un certificat avec OpenSSL au lieu de cet outil ?

Oui. La commande openssl x509 -in certificat.pem -noout -text produit le même résultat dans un terminal. Le décodeur en ligne est pratique quand vous n'avez pas OpenSSL installé, quand vous travaillez depuis un appareil mobile, ou quand vous devez partager le résultat avec un collègue non technique.

Q: Comment savoir si mon certificat est auto-signé ?

Dans les résultats du décodage, comparez les champs Subject et Issuer. Si les deux sont identiques, le certificat est auto-signé. Les navigateurs affichent un avertissement pour ces certificats car ils ne proviennent pas d'une autorité de certification reconnue.

À propos Décodeur de certificat

Le décodeur de certificat SSL de ToolsPivot transforme un certificat encodé en Base64 (format PEM) en informations lisibles : nom de domaine, émetteur, dates de validité, algorithme de signature et clé publique. Gratuit, sans inscription, il fonctionne directement dans le navigateur. Contrairement à la plupart des outils concurrents qui se limitent au format PEM, ToolsPivot prend aussi en charge les formats DER et PFX.

Vous gérez des certificats SSL/TLS pour un site web, un serveur ou une application ? Avant d'installer un certificat reçu de votre autorité de certification, vérifier son contenu vous évite des erreurs coûteuses. Un domaine mal renseigné, une date d'expiration passée ou un algorithme obsolète (SHA-1, par exemple) peuvent provoquer des alertes de sécurité dans les navigateurs de vos visiteurs. Les administrateurs systèmes sur OVHcloud, Infomaniak ou o2switch utilisent ce type d'outil au quotidien pour valider leurs certificats avant déploiement.

Comment utiliser le Décodeur de Certificat de ToolsPivot

Récupérez votre certificat : ouvrez le fichier .crt, .pem ou .cer avec un éditeur de texte. Copiez tout le bloc, y compris les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.
Collez le certificat : rendez-vous sur la page du décodeur de certificat ToolsPivot et collez le texte complet dans la zone de saisie « Paste Certificate Text ».
Lancez le décodage : cliquez sur le bouton de soumission. L'outil analyse le certificat et affiche les données décodées en quelques secondes.
Vérifiez les résultats : contrôlez chaque champ affiché (sujet, émetteur, période de validité, algorithme, taille de clé). Si une erreur apparaît, contactez votre autorité de certification avant d'installer le certificat sur votre serveur.

Astuce : si votre certificat est au format DER (binaire), convertissez-le d'abord en PEM avec la commande openssl x509 -inform der -in certificat.der -out certificat.pem. Vous pouvez aussi utiliser le convertisseur SSL de ToolsPivot pour cette opération.

Fonctionnalités du Décodeur de Certificat de ToolsPivot

Décodage du sujet (Subject) : affiche le nom de domaine protégé (CN), le nom de l'organisation (O), le service (OU), la localité (L), la région (ST) et le code pays (C). C'est la première vérification à faire pour confirmer que le certificat correspond bien à votre domaine.
Informations sur l'émetteur (Issuer) : identifie l'autorité de certification qui a signé le certificat. Vous verrez si votre certificat provient de Let's Encrypt, DigiCert, Sectigo, GlobalSign ou d'une autre CA reconnue.
Période de validité : indique les dates « Not Before » et « Not After ». Un certificat expiré déclenche une alerte dans Chrome, Firefox, Edge et Safari. La plupart des certificats Let's Encrypt sont valables 90 jours ; les certificats commerciaux, entre 1 et 2 ans.
Algorithme de signature : précise l'algorithme utilisé pour signer le certificat (SHA-256 avec RSA, ECDSA, etc.). Les certificats signés en SHA-1 sont rejetés par tous les navigateurs modernes depuis 2017.
Clé publique : affiche le type de clé (RSA, ECC) et sa taille en bits. Pour RSA, une taille de 2 048 bits est le minimum recommandé. Les clés ECC de 256 bits offrent un niveau de sécurité équivalent à RSA 3 072 bits.
Extensions X.509 v3 : liste les extensions du certificat, dont les Subject Alternative Names (SAN) qui indiquent tous les domaines et sous-domaines couverts, et l'utilisation prévue de la clé (authentification serveur, signature, etc.).
Numéro de série : chaque certificat possède un numéro de série unique attribué par la CA. Utile pour identifier un certificat précis dans un environnement avec plusieurs certificats actifs.
Empreinte (Fingerprint) : le hash SHA-256 du certificat permet de vérifier son intégrité. Si vous comparez un certificat reçu par e-mail à celui installé sur le serveur, les empreintes doivent correspondre exactement.

Après le décodage, pensez à vérifier que votre clé privée correspond bien au certificat avec le vérificateur de correspondance clé-certificat.

Pourquoi utiliser le Décodeur de Certificat de ToolsPivot

Vérification avant installation : un certificat SSL mal configuré peut rendre votre site inaccessible. Décoder le certificat avant de l'installer sur Apache, Nginx ou IIS vous permet de repérer les erreurs à l'avance. Plus rapide que de taper openssl x509 -in cert.pem -noout -text en ligne de commande.
Aucune inscription requise : collez votre certificat, décodez, récupérez les informations. Pas de compte à créer, pas d'adresse e-mail à fournir. L'outil traite le certificat directement dans le navigateur.
Compatible tous formats courants : PEM, DER, PFX. Que votre certificat vienne de Let's Encrypt, d'un hébergeur comme OVHcloud ou d'un fournisseur commercial, le décodeur le prend en charge.
Contrôle de la chaîne de confiance : vérifiez que le certificat intermédiaire est bien inclus. Une chaîne incomplète provoque des erreurs « NET::ERR_CERT_AUTHORITY_INVALID » dans Chrome. Utilisez ensuite le vérificateur SSL pour tester l'installation complète.
Détection des algorithmes obsolètes : le décodeur révèle immédiatement si votre certificat utilise SHA-1, MD5 ou une taille de clé RSA inférieure à 2 048 bits. Autant de signaux qui déclenchent des avertissements de sécurité.
Outil complémentaire à l'écosystème SSL : combinez le décodeur avec le décodeur CSR pour vérifier votre demande de certificat, le générateur de CSR pour créer une nouvelle demande, et le vérificateur de CSR pour valider le format.
Gain de temps pour les équipes techniques : au lieu de passer par OpenSSL sur chaque poste, partagez le lien de l'outil avec vos collègues. Tout le monde peut vérifier un certificat depuis n'importe quel navigateur, y compris sur mobile.

Lire et interpréter les données d'un certificat SSL

Le décodeur affiche une dizaine de champs. Tous ne sont pas aussi importants les uns que les autres. Voici les points à vérifier en priorité après le décodage.

Le Common Name (CN) doit correspondre exactement au domaine que vous protégez. Si votre site est accessible à l'adresse www.monsite.fr, le CN doit indiquer www.monsite.fr ou *.monsite.fr pour un certificat wildcard. Une erreur ici, et les navigateurs afficheront un avertissement « Ce site n'est pas sécurisé ».

Les Subject Alternative Names (SAN) sont devenus plus importants que le CN lui-même. Chrome, par exemple, ignore le CN et vérifie uniquement les SAN. Si votre certificat protège plusieurs domaines (monsite.fr, www.monsite.fr, api.monsite.fr), ils doivent tous apparaître dans cette extension.

La date d'expiration est le champ le plus surveillé. Un certificat Let's Encrypt expire tous les 90 jours. Si vous ne renouvelez pas à temps, vos visiteurs verront une page d'erreur au lieu de votre contenu. Pour les sites e-commerce sur PrestaShop ou WooCommerce, un certificat expiré peut interrompre les transactions et faire chuter le chiffre d'affaires.

L'algorithme de signature indique le niveau de sécurité cryptographique. SHA-256 avec RSA est le standard actuel. Les certificats utilisant ECDSA (Elliptic Curve Digital Signature Algorithm) offrent des performances supérieures avec des clés plus courtes. Vérifiez que votre serveur prend en charge l'algorithme indiqué avant l'installation.

Besoin de vérifier d'autres aspects de votre infrastructure ? Le vérificateur de statut serveur confirme que votre serveur est bien en ligne, et le vérificateur d'hébergement identifie le fournisseur qui héberge votre domaine.

Scénarios courants de décodage de certificat

Un auto-entrepreneur qui lance sa boutique en ligne reçoit un certificat SSL de son hébergeur (OVHcloud, Ionos, o2switch). Avant de l'installer via cPanel ou Plesk, il colle le certificat dans le décodeur pour vérifier que le domaine correspond bien à sa boutique et que la date de validité est correcte.

Un développeur web en freelance sur Malt gère les certificats de plusieurs clients. Il utilise le décodeur ToolsPivot pour comparer rapidement les certificats de différents domaines sans ouvrir un terminal sur chaque serveur. Résultat : un gain de 10 à 15 minutes par certificat vérifié.

Une agence web qui migre un site WordPress d'un serveur mutualisé vers un serveur dédié doit réinstaller le certificat SSL. Après la migration, elle décode le certificat pour confirmer que les SAN incluent bien les versions avec et sans www du domaine. Elle enchaîne avec le vérificateur de sécurité du site pour s'assurer qu'aucune faille n'a été introduite pendant la migration.

Un responsable IT d'une PME doit renouveler les certificats de plusieurs applications internes (intranet, serveur mail, VPN). Il décode chaque certificat pour identifier ceux qui expirent dans les 30 prochains jours et planifier les renouvellements. Avec environ 73 % des pannes liées aux certificats causées par des expirations oubliées, cette vérification régulière évite des interruptions de service. Pour le serveur mail, un test avec le testeur de confidentialité e-mail complète le diagnostic de sécurité.

Ce qu'on nous demande souvent

Qu'est-ce qu'un décodeur de certificat SSL ?

Un décodeur de certificat SSL lit les données encodées en Base64 d'un certificat au format PEM et les traduit en texte lisible. Il affiche le nom de domaine protégé, l'autorité de certification émettrice, les dates de validité, l'algorithme de signature et la clé publique. C'est un outil de vérification, pas de modification.

Le décodeur de certificat de ToolsPivot est-il gratuit ?

Oui, 100 % gratuit. Aucune inscription, aucun compte, aucune limite d'utilisation quotidienne. Vous collez votre certificat, vous cliquez, vous obtenez les résultats.

Quels formats de certificat sont pris en charge ?

Le décodeur accepte les certificats au format PEM (texte encodé en Base64 commençant par -----BEGIN CERTIFICATE-----). Si votre certificat est en format DER (binaire) ou PFX, convertissez-le en PEM avec OpenSSL ou un outil de conversion avant le décodage.

Quelle est la différence entre un décodeur de certificat et un décodeur CSR ?

Un décodeur de certificat lit un certificat déjà émis par une autorité de certification. Un décodeur CSR lit une demande de signature de certificat (Certificate Signing Request), envoyée avant l'émission. Les deux utilisent le format PEM, mais le contenu décodé diffère : le certificat contient l'émetteur et la signature, la CSR contient uniquement la clé publique et les informations du demandeur.

Puis-je décoder un certificat avec OpenSSL au lieu de cet outil ?

Oui. La commande openssl x509 -in certificat.pem -noout -text produit le même résultat dans un terminal. Le décodeur en ligne est pratique quand vous n'avez pas OpenSSL installé, quand vous travaillez depuis un appareil mobile, ou quand vous devez partager le résultat avec un collègue non technique.

Est-ce que mes données de certificat sont stockées ?

Non. Le décodage s'effectue sans stockage côté serveur. Votre certificat n'est pas conservé, partagé ou enregistré après le traitement. Pour autant, ne collez jamais votre clé privée dans un outil en ligne, quel qu'il soit.

Comment savoir si mon certificat est auto-signé ?

Dans les résultats du décodage, comparez les champs « Subject » et « Issuer ». Si les deux sont identiques, le certificat est auto-signé. Les navigateurs affichent un avertissement pour ces certificats car ils ne proviennent pas d'une autorité de certification reconnue.

Que signifie l'erreur « NET::ERR_CERT_AUTHORITY_INVALID » ?

Cette erreur apparaît dans Chrome quand la chaîne de certificats est incomplète : le certificat intermédiaire manque entre votre certificat serveur et le certificat racine de la CA. Décodez votre certificat pour identifier l'émetteur, puis installez le certificat intermédiaire correspondant sur votre serveur.

Le décodeur fonctionne-t-il sur mobile ?

Oui. L'interface fonctionne sur smartphone et tablette via n'importe quel navigateur moderne (Chrome, Safari, Firefox). Pratique pour vérifier un certificat en déplacement, sans accéder à un terminal SSH.

Quelle taille de clé RSA est recommandée ?

Le minimum recommandé est 2 048 bits. Les clés de 4 096 bits offrent une sécurité accrue mais augmentent le temps de négociation TLS. Pour les clés ECC, 256 bits équivalent à RSA 3 072 bits en termes de sécurité, avec des performances nettement meilleures.

Comment vérifier qu'un certificat couvre plusieurs domaines ?

Décodez le certificat et consultez l'extension « Subject Alternative Names » (SAN). Tous les domaines et sous-domaines protégés y sont listés. Chrome et les autres navigateurs se basent sur les SAN (et non sur le CN) pour valider la correspondance avec le domaine visité.

Mon certificat est valide mais le site affiche quand même un avertissement. Pourquoi ?

Plusieurs causes possibles : certificat intermédiaire manquant, contenu mixte (ressources HTTP chargées sur une page HTTPS), ou configuration TLS incorrecte. Après le décodage, testez l'installation complète avec un vérificateur SSL en ligne et contrôlez les redirections avec le vérificateur de redirection WWW. Vous pouvez aussi vérifier si votre domaine est sur une liste noire via le vérificateur de liste noire ou consulter la recherche Whois pour identifier le propriétaire du domaine.