Bij elke controle opent onze server een echte TLS-verbinding naar de host op poort 443 — precies zoals een browser — en leest het certificaat dat de server tijdens de handshake werkelijk presenteert. Een belangrijk detail: we rapporteren wat er op dit moment echt wordt geserveerd, niet wat een certificaatautoriteit heeft uitgegeven of wat je vernieuwingsautomatisering denkt te hebben gedeployed.
Elk X.509-certificaat draagt een geldigheidsvenster (notBefore en notAfter). Zodra de notAfter-tijdstempel is gepasseerd, weigert elke moderne browser en HTTP-client de verbinding botweg — er is geen geleidelijke degradatie. Nu publieke certificaatlooptijden zijn afgetopt op zo'n 13 maanden en richting 90 dagen bewegen, wordt er vaak vernieuwd — en elke vernieuwing is een kans op stille mislukking.
De getoonde vingerafdruk is de unieke handtekening van het certificaat. Hij verandert bij elke vernieuwing, wat hem tot het definitieve bewijs maakt dat een nieuw certificaat daadwerkelijk op de server is gedeployed — niet alleen uitgegeven. Heb je vernieuwd maar is de vingerafdruk niet veranderd, dan wordt het oude certificaat nog geserveerd.