Richtet man neue SSL-Zertifikate auf einem Server ein oder aktualisiert Diese z.B. im Zuge einer Verlängerung oder beim Wechsel der Zertifizierungsstelle möchte man in der Regel überprüfen, ob der Server bzw. der jeweilige Dienst das richtige Zertifikat verwendet. Zu diesem Zweck stehen gleich mehrere Möglichkeiten zur Verfügung.
Im Falle eines Webserver besteht die einfachste Möglichkeit darin, schlichtweg einen Browser zu starten, die verschlüsselte Seite aufzurufen und sich die Zertifikat-Informationen anzusehen.
Bei einem Mailserver ist die Sache unter umständen etwas anders, vor allem deswegen da dort mehrere unterschiedliche Protokolle wie SMTP, POP3 und IMAP zum Einsatz kommen, als auch in Folge unterschiedliche Ports.
Schnell und einfach kann man mit der Webseite SSL-Tools Web- und Mailserver-Zertifkate überprüfen. Unstimmigkeiten werden farblich hervorgehoben, so das man das Ergenis gut prüfen kann. Bei Mailservern werden aber nur die in den MX-Einträgen hinterlegten SMTP-Server überprüft.
Eine Alternative, vor allem wenn man mehr Details haben, weitere Protokolle oder Ports testen oder schlicht nicht auf einen Dritten vertrauen möchte, stellt die Verwendung von OpenSSL dar. Mit folgenden Befehl fragt man das Zertifikat vom Server ab:
openssl s_client -connect domain.tld:port
Die Ausgabe ist recht umfangreich und man sollte diese in Ruhe prüfen. Möchte man StartTLS prüfen erweitert man den Befehl wie folgt:
openssl s_client -connect domain.tld:port -starttls protocol
Protocol muss man durch smtp, imap, pop3, ftp oder xmpp ersetzen.
