Bei jeder Prüfung öffnet unser Server eine echte TLS-Verbindung zum Host auf Port 443 — genau wie ein Browser — und liest das Zertifikat, das der Server während des Handshakes tatsächlich präsentiert. Ein wichtiges Detail: Wir melden, was gerade wirklich ausgeliefert wird — nicht, was eine Zertifizierungsstelle ausgestellt hat oder was Ihre Erneuerungsautomatisierung glaubt, deployt zu haben.
Jedes X.509-Zertifikat trägt ein Gültigkeitsfenster (notBefore und notAfter). Sobald der notAfter-Zeitstempel überschritten ist, lehnt jeder moderne Browser und HTTP-Client die Verbindung rundweg ab — ohne graduelle Verschlechterung. Da öffentliche Zertifikatslaufzeiten inzwischen bei rund 13 Monaten gedeckelt sind und sich auf 90 Tage zubewegen, wird häufig erneuert — und jede Erneuerung ist eine Gelegenheit für einen stillen Fehler.
Der angezeigte Fingerabdruck ist die eindeutige Signatur des Zertifikats. Er ändert sich bei jeder Erneuerung und ist damit der definitive Beweis, dass ein neues Zertifikat tatsächlich auf dem Server deployt wurde — nicht nur ausgestellt. Wenn Sie erneuert haben, der Fingerabdruck sich aber nicht geändert hat, wird noch das alte Zertifikat ausgeliefert.