Quand vous lancez une vérification, notre serveur ouvre une vraie connexion TLS vers l'hôte sur le port 443 — exactement comme un navigateur — et lit le certificat que le serveur présente réellement pendant la négociation. Détail important : nous rapportons ce qui est réellement servi en ce moment, pas ce qu'une autorité de certification a émis ni ce que votre automatisation de renouvellement croit avoir déployé.
Chaque certificat X.509 porte une fenêtre de validité (notBefore et notAfter). Une fois le notAfter dépassé, chaque navigateur et client HTTP moderne rejette la connexion d'emblée — sans dégradation progressive. Les durées de vie des certificats publics étant désormais plafonnées à environ 13 mois et en route vers 90 jours, les renouvellements sont fréquents, et chacun est une occasion d'échec silencieux.
L'empreinte affichée est la signature unique du certificat. Elle change à chaque renouvellement, ce qui en fait la preuve définitive qu'un nouveau certificat a bien été déployé sur le serveur — pas seulement émis. Si vous avez renouvelé mais que l'empreinte n'a pas changé, l'ancien certificat est toujours servi.