Decodificador de certificados
Pega un certificado PEM, una cadena de certificados o una CSR y léelo en campos claros: subject, issuer, fechas de validez con días restantes, Subject Alternative Names, algoritmo y tamaño de clave, usos de clave, restricciones básicas, identificadores y huellas SHA-1 y SHA-256. Acepta certificados X.509 en PEM, Base64 o DER, solicitudes PKCS#10 y cadenas completas. Todo se analiza en tu navegador con Web Crypto API; no se sube ni registra ningún certificado, CSR o clave. Es un decodificador para inspección, no una comprobación de confianza.
- Decodifica certificados X.509 y CSRs PKCS#10 desde PEM, Base64 o DER, incluidas cadenas con varios certificados
- Muestra subject, issuer, validez, días restantes y estado válido, caducado o aún no válido
- Lista Subject Alternative Names, usos de clave, extended key usage, restricciones básicas e identificadores
- Informa algoritmo y tamaño de clave, curva EC o bits RSA, más huellas SHA-1 y SHA-256 copiables
- Procesamiento local con Web Crypto; no sube datos y no verifica confianza ni revocación
Resumen
Un lector enfocado para certificados X.509 y CSRs. Convierte la estructura ASN.1 de un bloque PEM en campos etiquetados para revisar el contenido sin encadenar comandos openssl. El análisis ocurre en el navegador con Web Crypto API.
- 01
Certificados, cadenas y CSRs
Decodifica un certificado X.509, una cadena con varios bloques PEM o una solicitud PKCS#10. Si hay cadena, puedes cambiar entre leaf, intermedio y raíz.
- 02
Subject, issuer y validez
Subject e issuer se separan por componentes como CN, O, OU y C. La validez muestra fechas, estado y días restantes.
- 03
Subject Alternative Names
Cada SAN se lista con su tipo, como DNS, IP, email o URI, para confirmar si cubre los hostnames esperados.
- 04
Clave y firma
Consulta algoritmo y tamaño de clave, algoritmo de firma, número de serie y huellas SHA-1 y SHA-256 copiables.
- 05
Usos y restricciones
Decodifica key usage, extended key usage, basic constraints, identificadores de clave y extensiones con OID y marca crítica.
- 06
Local, con PEM, Base64 o DER
Acepta PEM, Base64 sin cabecera o DER. El análisis y las huellas se calculan en la pestaña del navegador.
Cómo usarla
El flujo es breve: pega el certificado, lee los campos, cambia entre miembros de la cadena y copia lo necesario.
- 01
Pega un certificado, una cadena o una CSR en el panel de entrada. Se acepta PEM, Base64 o DER y el análisis empieza de inmediato.
- 02
Revisa primero el resumen: tipo, common name, algoritmo de firma y si subject e issuer coinciden.
- 03
Comprueba los Subject Alternative Names y la sección de validez para confirmar hostnames, fecha exacta de caducidad y días restantes.
- 04
Si pegaste una cadena, usa el selector para revisar por separado el certificado leaf, intermedio y raíz.
- 05
Copia una huella, número de serie, identificador de clave o el PEM normalizado del certificado seleccionado.
Detalles
Expone directamente las partes que normalmente obligan a usar la terminal, sin enviar nada al servidor.
- Lee certificados X.509 y CSRs PKCS#10 desde PEM, Base64 o DER.
- Divide una cadena pegada en certificados individuales con selector.
- Separa subject e issuer en componentes legibles.
- Muestra validez con días restantes y estado claro.
- Lista Subject Alternative Names con tipo para revisar cobertura de hostnames.
- Informa tamaño RSA, curva EC y algoritmo de firma.
- Calcula huellas SHA-1 y SHA-256 con Web Crypto API y copia en un clic.
- Decodifica key usage, extended key usage, basic constraints e identificadores.
- Corre por completo en el navegador: sin subida, telemetría, confianza ni revocación.
Casos de uso
Cuando aparece un bloque PEM, estas comprobaciones se vuelven una acción de pegar en lugar de una serie de comandos openssl.
-
Comprobar caducidad
Lee la fecha not-after y los días restantes para renovar antes de una interrupción.
-
Confirmar hostnames
Verifica que los SAN incluyan todos los dominios y comodines que sirve el servicio.
-
Revisar una CSR
Confirma subject, tamaño de clave y SAN solicitados antes de enviarla a la autoridad certificadora.
-
Inspeccionar una cadena
Pega leaf, intermedio y raíz juntos para revisar issuer e identificadores durante errores de cadena incompleta.
-
Comparar huellas
Copia la huella SHA-256 para pinning o comparación durante un despliegue.
-
Auditar fuerza de clave
Comprueba tamaño RSA, curva EC y algoritmo de firma durante una revisión de seguridad.
-
Depurar mTLS
Revisa si un certificado cliente incluye client authentication y el subject esperado.
-
Aprender X.509
Carga el ejemplo integrado para entender subject, extensiones y usos de clave.
Ver también
Cuando necesites crear el material de clave detrás de un certificado, genera un par RSA o EC con Generador de claves RSA . Si la credencial que depuras es un token firmado en lugar de un certificado, decodifícalo y verifícalo con Inspector de JWT . Y si quieres comparar una huella de certificado o cualquier archivo con un valor conocido, calcúlalo con Generador de hash para obtener SHA-256 y otros resúmenes localmente en el navegador.
Buenas prácticas
Un decodificador muestra lo que dice el certificado; estas prácticas evitan confundir lectura con confianza.
- Úsalo solo para inspección. No verifica firma, cadena ni revocación.
- Usa SHA-256, no SHA-1, para pinning o comparación; SHA-1 se muestra por compatibilidad heredada.
- Confirma cobertura de hostnames en Subject Alternative Names, no en common name.
- Al revisar una CSR, valida tamaño de clave y subject antes de firmarla.
- Renueva con margen usando los días restantes, no esperes a una alerta de caducidad.
- No pegues claves privadas. Para leer certificados y CSRs no hacen falta.
- Para una decisión real de confianza, valida cadena y revocación con el cliente o herramientas de plataforma.
Limitaciones
Saber lo que no hace evita tratarlo como validador o toolkit PKI completo.
- No verifica confianza: no valida firmas, no construye cadenas y no decide si un cliente real aceptaría el certificado.
- No consulta revocación por CRL u OCSP ni contacta con una CA o endpoint de red.
- Autofirmado se informa como heurística: subject igual a issuer, no como prueba criptográfica.
- Solo lee certificados y CSRs. CRL, PKCS#7, PKCS#12 y claves privadas quedan fuera.
- Algunas extensiones raras se muestran por OID y marca crítica sin valor amigable.
- El procesamiento es local, pero tu seguridad también depende del dispositivo, extensiones, pantalla compartida y dónde pegues el resultado.
Preguntas frecuentes
Preguntas habituales sobre confianza, formatos, huellas, CSRs y privacidad.
¿Verifica si un certificado es válido o confiable?
No. Decodifica campos, pero no valida firmas, no construye la cadena y no consulta revocación. Usa el sistema operativo, navegador o servidor para una decisión de confianza.
¿Qué formatos admite?
PEM es el caso común, pero también acepta Base64 sin cabecera y DER. Puedes pegar varios bloques PEM para revisar una cadena.
¿Puede decodificar una CSR?
Sí. Pega una solicitud PKCS#10 para leer subject, clave pública, algoritmo de firma y extensiones solicitadas. Una CSR no tiene issuer ni fechas de validez.
¿Qué huella debo usar?
Prefiere SHA-256 para pinning y comparación. SHA-1 se incluye por sistemas antiguos, pero no debería usarse como base de seguridad.
¿Por qué aparece como autofirmado?
La marca es una heurística que compara subject e issuer. No verifica la firma, así que trátala como pista, no como prueba.
¿Se sube mi certificado o clave?
No. El análisis y las huellas se calculan en tu pestaña con Web Crypto API. Nada se envía a un servidor.
¿Puedo pegar una clave privada?
No hace falta y no deberías hacerlo. El decodificador trabaja con certificados y CSRs, que son públicos por diseño.
¿Por qué algunas extensiones solo muestran OID?
Las extensiones comunes se decodifican completo. Las raras o de proveedor se listan por OID y marca crítica para que sepas que existen.
Herramientas relacionadas
Continúa con herramientas de seguridad: genera claves, inspecciona tokens o calcula hashes dentro del navegador.