Cert-Check · Protokolle · HSTS · CAA — in einem Rutsch

SSL/TLS prüfen, scoren, verstehen.

Zertifikat, Aussteller, Restzeit, TLS-Version, Cipher und HSTS in einem Rutsch — mit klarem A+/F-Score und Empfehlungen. Kein Konto nötig.

Prüft Zertifikat · TLS-Version · Cipher · HSTS — Ergebnis in ~5 Sekunden

A+/F-Score TLS 1.0–1.3 Probes HSTS · Chain · Key

Was geprüft wird

Vollständiges TLS-Profil pro Domain.

Ein Score, keine Vermutungen — nachvollziehbar pro Kategorie.

Live-Check

Cert + TLS-Probes + HSTS + OCSP-Stapling — kompletter Score in einem Rutsch (siehe oben).

Cert-Decoder

PEM einfügen → Aussteller, Subject, SANs, Gültigkeit und Schlüssel-Details lesbar.

CSR-Generator

RSA- oder EC-Schlüsselpaar im Browser erzeugen, dazu fertigen Certificate Signing Request.

CAA-Generator

Allowed-CAs für deine Domain festlegen — sperrt unauthorisierte Aussteller ab.

So funktioniert's

In drei Schritten startklar.

1

Domain prüfen

Hostname eintragen. Der Check läuft Cert-Lookup, TLS-Probes und HSTS-Check parallel.

2

Score lesen

Klares A+ bis F mit ausformulierten Findings — du weißt was zu tun ist.

3

Permanent überwachen

Vor dem nächsten Ablauf gewarnt werden: → DMARC-Analyse

Tools

Record-Generatoren

SPF, DMARC, CAA, BIMI, MTA-STS und TLS-RPT — klick dir den richtigen Record zusammen, mit RFC-Validierung und Best-Practice-Defaults.

Zertifikate laufen leise ab.

Statt einmal im Quartal manuell zu prüfen: lass DMARC-Analyse das übernehmen. Mail oder Webhook-Alert lange vor Ablauf — auch für Subdomains und Microservices.

Zertifikate überwachen Mehr erfahren

Record-Generatoren

DNS-Lookups (RFC 7208)
/ 10

Bisher keine Lookups — füge Provider oder Mechanismen hinzu. Sicher unter dem RFC-Limit. Schätzwert je Provider. Knapp am Limit — entferne unnötige Provider oder nutze SPF-Flattening. Über dem Limit. SPF wird mit permerror antworten — alle Mails könnten abgelehnt werden.

Generierter SPF-Record

Anleitung: TXT-Record mit Host @ und dem generierten Wert anlegen. Pro Domain darf nur ein einziger SPF-Record existieren.

Rollout-Stufe

Empfohlen: jede Stufe 1–4 Wochen laufen lassen, Reports prüfen, dann zur nächsten.

Stufe 1 — Monitor: Sammle Reports und sieh, wer in deinem Namen Mails verschickt. Noch keine Auswirkungen auf die Zustellung. Stufe 2 — Quarantine 25%: 25% nicht-authentifizierter Mails landen im Spam. Restliche 75% kommen normal an. Risiko gering. Stufe 3 — Quarantine 100%: Alle nicht-authentifizierten Mails landen im Spam. Letzter Schritt vor Reject. Stufe 4 — Reject: Nicht-authentifizierte Mails werden komplett abgelehnt. Maximaler Schutz vor Spoofing.

Tägliche XML-Reports — empfohlen.

Pro fehlgeschlagener Mail — DSGVO-relevant.

Eigene Policy für Subdomains, falls abweichend.

Anteil der Mails, auf die die Policy angewendet wird.

Die meisten Receiver senden ohnehin nur einmal täglich.

Generierter DMARC-Record

Anleitung: TXT-Record mit Host _dmarc und dem generierten Wert anlegen.
CAA definiert, welche Certificate-Authorities dein Domain Zertifikate ausstellen dürfen. Sperrt unautorisierte CAs ab — wichtig nach den Lapses bei DigiNotar/Symantec etc.

Generierte CAA-Records

Anleitung: Pro Zeile einen CAA-Record beim DNS-Provider auf Host @ anlegen. Vorab die aktuell ausstellenden CAs prüfen (kein „Selbstausschluss").
BIMI zeigt dein Logo neben Mails im Posteingang (Gmail, Yahoo, Apple Mail). Voraussetzung: p=quarantine oder p=reject in DMARC plus ein quadratisches SVG-Tiny-Logo.

Üblicherweise default — der Record-Host wird daraus zu .

SVG Tiny 1.2, quadratisch, ohne Skripte/externe Refs, idealerweise < 32 KB.

Verified-Mark-Certificate (VMC) von DigiCert oder Entrust — kostet ~ 1.500 €/Jahr, aktuell Gmail-Pflicht.

DNS-Host

TXT-Record

MTA-STS erzwingt TLS-Verschlüsselung beim Empfangen von Mails — schützt vor Downgrade-Angriffen. Erfordert einen DNS-Record und eine Policy-Datei auf https://mta-sts.deine-domain.de/.well-known/mta-sts.txt.

Wildcards (*.example.com) sind erlaubt.

DNS-Record auf Host _mta-sts

Policy-Datei /.well-known/mta-sts.txt auf mta-sts.<domain>


                    
                

            


            

                Wichtig: Die Subdomain mta-sts.deine-domain.de
                muss per HTTPS erreichbar sein (eigenes SSL-Cert!) und genau diese Policy-Datei ausliefern.
            

        


        
        

            

                TLS-RPT sammelt Reports über TLS-Probleme beim Mail-Empfang
                — die Ergänzung zu MTA-STS, damit du erfährst, wenn die Policy verletzt wird.
            


            

                
                
                
JSON-Reports landen in dieser Mailbox — eigenes Postfach oder Service wie postmark/dmarcian.

            


            

                
DNS-Record auf Host _smtp._tls

                
                
            


            

                Anleitung: TXT-Record mit Host
                _smtp._tls
                und dem generierten Wert anlegen. Funktioniert auch ohne MTA-STS.
            

        

    







    

        
Schwester-Projekte

        

                        
                

                                    

                

                    
DNS-Analyse

                    
DNS-Tools, Lookups und Record-Generatoren ohne Anmeldung.

                

                
            
                        
                

                                    

                

                    
DMARC-Analyse

                    
Permanentes Monitoring für DNS-, SSL- und Uptime-Änderungen.