Seguridad

Decodificador de certificados

Pega un certificado PEM, una cadena de certificados o una CSR y léelo en campos claros: subject, issuer, fechas de validez con días restantes, Subject Alternative Names, algoritmo y tamaño de clave, usos de clave, restricciones básicas, identificadores y huellas SHA-1 y SHA-256. Acepta certificados X.509 en PEM, Base64 o DER, solicitudes PKCS#10 y cadenas completas. Todo se analiza en tu navegador con Web Crypto API; no se sube ni registra ningún certificado, CSR o clave. Es un decodificador para inspección, no una comprobación de confianza.

  • Decodifica certificados X.509 y CSRs PKCS#10 desde PEM, Base64 o DER, incluidas cadenas con varios certificados
  • Muestra subject, issuer, validez, días restantes y estado válido, caducado o aún no válido
  • Lista Subject Alternative Names, usos de clave, extended key usage, restricciones básicas e identificadores
  • Informa algoritmo y tamaño de clave, curva EC o bits RSA, más huellas SHA-1 y SHA-256 copiables
  • Procesamiento local con Web Crypto; no sube datos y no verifica confianza ni revocación
tools/Decodificador de certificados
0 caracteres
Esperando entrada
Pega un certificado o CSR para ver los campos decodificados.
Acciones

Resumen

Un lector enfocado para certificados X.509 y CSRs. Convierte la estructura ASN.1 de un bloque PEM en campos etiquetados para revisar el contenido sin encadenar comandos openssl. El análisis ocurre en el navegador con Web Crypto API.

  1. 01

    Certificados, cadenas y CSRs

    Decodifica un certificado X.509, una cadena con varios bloques PEM o una solicitud PKCS#10. Si hay cadena, puedes cambiar entre leaf, intermedio y raíz.

  2. 02

    Subject, issuer y validez

    Subject e issuer se separan por componentes como CN, O, OU y C. La validez muestra fechas, estado y días restantes.

  3. 03

    Subject Alternative Names

    Cada SAN se lista con su tipo, como DNS, IP, email o URI, para confirmar si cubre los hostnames esperados.

  4. 04

    Clave y firma

    Consulta algoritmo y tamaño de clave, algoritmo de firma, número de serie y huellas SHA-1 y SHA-256 copiables.

  5. 05

    Usos y restricciones

    Decodifica key usage, extended key usage, basic constraints, identificadores de clave y extensiones con OID y marca crítica.

  6. 06

    Local, con PEM, Base64 o DER

    Acepta PEM, Base64 sin cabecera o DER. El análisis y las huellas se calculan en la pestaña del navegador.

Cómo usarla

El flujo es breve: pega el certificado, lee los campos, cambia entre miembros de la cadena y copia lo necesario.

  1. 01

    Pega un certificado, una cadena o una CSR en el panel de entrada. Se acepta PEM, Base64 o DER y el análisis empieza de inmediato.

  2. 02

    Revisa primero el resumen: tipo, common name, algoritmo de firma y si subject e issuer coinciden.

  3. 03

    Comprueba los Subject Alternative Names y la sección de validez para confirmar hostnames, fecha exacta de caducidad y días restantes.

  4. 04

    Si pegaste una cadena, usa el selector para revisar por separado el certificado leaf, intermedio y raíz.

  5. 05

    Copia una huella, número de serie, identificador de clave o el PEM normalizado del certificado seleccionado.

Detalles

Expone directamente las partes que normalmente obligan a usar la terminal, sin enviar nada al servidor.

  • Lee certificados X.509 y CSRs PKCS#10 desde PEM, Base64 o DER.
  • Divide una cadena pegada en certificados individuales con selector.
  • Separa subject e issuer en componentes legibles.
  • Muestra validez con días restantes y estado claro.
  • Lista Subject Alternative Names con tipo para revisar cobertura de hostnames.
  • Informa tamaño RSA, curva EC y algoritmo de firma.
  • Calcula huellas SHA-1 y SHA-256 con Web Crypto API y copia en un clic.
  • Decodifica key usage, extended key usage, basic constraints e identificadores.
  • Corre por completo en el navegador: sin subida, telemetría, confianza ni revocación.

Casos de uso

Cuando aparece un bloque PEM, estas comprobaciones se vuelven una acción de pegar en lugar de una serie de comandos openssl.

  1. Comprobar caducidad

    Lee la fecha not-after y los días restantes para renovar antes de una interrupción.

  2. Confirmar hostnames

    Verifica que los SAN incluyan todos los dominios y comodines que sirve el servicio.

  3. Revisar una CSR

    Confirma subject, tamaño de clave y SAN solicitados antes de enviarla a la autoridad certificadora.

  4. Inspeccionar una cadena

    Pega leaf, intermedio y raíz juntos para revisar issuer e identificadores durante errores de cadena incompleta.

  5. Comparar huellas

    Copia la huella SHA-256 para pinning o comparación durante un despliegue.

  6. Auditar fuerza de clave

    Comprueba tamaño RSA, curva EC y algoritmo de firma durante una revisión de seguridad.

  7. Depurar mTLS

    Revisa si un certificado cliente incluye client authentication y el subject esperado.

  8. Aprender X.509

    Carga el ejemplo integrado para entender subject, extensiones y usos de clave.

Ver también

Cuando necesites crear el material de clave detrás de un certificado, genera un par RSA o EC con Generador de claves RSA . Si la credencial que depuras es un token firmado en lugar de un certificado, decodifícalo y verifícalo con Inspector de JWT . Y si quieres comparar una huella de certificado o cualquier archivo con un valor conocido, calcúlalo con Generador de hash para obtener SHA-256 y otros resúmenes localmente en el navegador.

Buenas prácticas

Un decodificador muestra lo que dice el certificado; estas prácticas evitan confundir lectura con confianza.

  • Úsalo solo para inspección. No verifica firma, cadena ni revocación.
  • Usa SHA-256, no SHA-1, para pinning o comparación; SHA-1 se muestra por compatibilidad heredada.
  • Confirma cobertura de hostnames en Subject Alternative Names, no en common name.
  • Al revisar una CSR, valida tamaño de clave y subject antes de firmarla.
  • Renueva con margen usando los días restantes, no esperes a una alerta de caducidad.
  • No pegues claves privadas. Para leer certificados y CSRs no hacen falta.
  • Para una decisión real de confianza, valida cadena y revocación con el cliente o herramientas de plataforma.

Limitaciones

Saber lo que no hace evita tratarlo como validador o toolkit PKI completo.

  • No verifica confianza: no valida firmas, no construye cadenas y no decide si un cliente real aceptaría el certificado.
  • No consulta revocación por CRL u OCSP ni contacta con una CA o endpoint de red.
  • Autofirmado se informa como heurística: subject igual a issuer, no como prueba criptográfica.
  • Solo lee certificados y CSRs. CRL, PKCS#7, PKCS#12 y claves privadas quedan fuera.
  • Algunas extensiones raras se muestran por OID y marca crítica sin valor amigable.
  • El procesamiento es local, pero tu seguridad también depende del dispositivo, extensiones, pantalla compartida y dónde pegues el resultado.

Preguntas frecuentes

Preguntas habituales sobre confianza, formatos, huellas, CSRs y privacidad.

¿Verifica si un certificado es válido o confiable?

No. Decodifica campos, pero no valida firmas, no construye la cadena y no consulta revocación. Usa el sistema operativo, navegador o servidor para una decisión de confianza.

¿Qué formatos admite?

PEM es el caso común, pero también acepta Base64 sin cabecera y DER. Puedes pegar varios bloques PEM para revisar una cadena.

¿Puede decodificar una CSR?

Sí. Pega una solicitud PKCS#10 para leer subject, clave pública, algoritmo de firma y extensiones solicitadas. Una CSR no tiene issuer ni fechas de validez.

¿Qué huella debo usar?

Prefiere SHA-256 para pinning y comparación. SHA-1 se incluye por sistemas antiguos, pero no debería usarse como base de seguridad.

¿Por qué aparece como autofirmado?

La marca es una heurística que compara subject e issuer. No verifica la firma, así que trátala como pista, no como prueba.

¿Se sube mi certificado o clave?

No. El análisis y las huellas se calculan en tu pestaña con Web Crypto API. Nada se envía a un servidor.

¿Puedo pegar una clave privada?

No hace falta y no deberías hacerlo. El decodificador trabaja con certificados y CSRs, que son públicos por diseño.

¿Por qué algunas extensiones solo muestran OID?

Las extensiones comunes se decodifican completo. Las raras o de proveedor se listan por OID y marca crítica para que sepas que existen.

Herramientas relacionadas

Continúa con herramientas de seguridad: genera claves, inspecciona tokens o calcula hashes dentro del navegador.