Decodificador de certificados X.509

¿Qué es Decodificador de certificados X.509?

El Decodificador de certificados X.509 es una herramienta gratuita que funciona en el navegador y convierte el denso base64 de un certificado TLS/SSL o de una solicitud de firma PKCS#10 en un resumen claro y legible. Administradores de sistemas, ingenieros de DevOps y revisores de seguridad lo usan para confirmar qué dominios protege un certificado, comprobar las fechas not-before y not-after antes de una renovación, inspeccionar el emisor y el sujeto, y leer el tamaño de la clave pública y el algoritmo de firma sin recurrir a openssl en la línea de comandos. Acepta un bloque PEM completo o un cuerpo DER en base64 sin envoltorio en el campo de entrada de certificado o CSR, detecta si es un certificado o una CSR, y muestra el Sujeto, el Emisor, la ventana de validez, los Nombres alternativos del sujeto, la clave pública, el número de serie y el algoritmo de firma. Como el análisis se ejecuta con pkijs y asn1js completamente dentro de tu navegador, no se sube nada y la herramienta sigue funcionando sin conexión.

Cómo usar Decodificador de certificados X.509

1. Copia un certificado o CSR, incluidas las líneas -----BEGIN----- y -----END----- si las tienes, o solo el cuerpo en base64.
2. Pégalo en el cuadro de entrada Certificado o CSR; la decodificación empieza sola en cuanto se analiza correctamente.
3. Lee la salida Detalles decodificados: Sujeto, Emisor, fechas de validez, Nombres alternativos del sujeto, clave pública y algoritmo de firma.
4. Usa el botón de copiar para tomar el resumen decodificado completo, o copia líneas sueltas de la salida.
5. Si la entrada no es un certificado o CSR válido, corrige el texto o el relleno indicado en la nota de error y vuelve a intentarlo.

Ejemplos

-----BEGIN CERTIFICATE-----
MIIDdzCCAl+gAwIBAgIE...truncated...
-----END CERTIFICATE-----

Sujeto: CN=example.com
Emisor: CN=R3, O=Let's Encrypt, C=US
Válido desde: 2026-01-01
Válido hasta: 2026-04-01
SAN: example.com, www.example.com
Clave pública: RSA de 2048 bits
Firma: RSASSA-PKCS1-v1_5 con SHA-256

-----BEGIN CERTIFICATE REQUEST-----
MIICijCCAXICAQAw...truncated...
-----END CERTIFICATE REQUEST-----

Tipo: Solicitud de firma de certificado (CSR)
Sujeto: CN=api.example.com, O=Example Inc
Clave pública: EC P-256
Firma: ECDSA con SHA-256

Preguntas frecuentes

¿Se sube mi certificado o CSR a algún sitio?

No. La decodificación se ejecuta por completo en tu navegador con las bibliotecas pkijs y asn1js cargadas bajo demanda. El certificado o la CSR que pegas nunca se envía ni se almacena en ningún servidor, así que la herramienta funciona sin conexión y tus datos se quedan en tu dispositivo.

¿Qué formatos de entrada se aceptan?

Bloques PEM envueltos en líneas -----BEGIN CERTIFICATE----- o -----BEGIN CERTIFICATE REQUEST-----, y cuerpos DER en base64 sin envoltorio. La herramienta elimina los espacios y las líneas de cabecera y pie automáticamente, y luego decodifica el base64 a bytes DER.

¿Distingue los certificados de las CSR?

Sí. Primero intenta analizar la entrada como un certificado X.509; si falla, prueba con una solicitud de firma PKCS#10, y la salida indica cuál encontró. Las CSR no tienen fechas de validez ni emisor, por lo que esos campos se omiten.

¿Por qué dice que mi entrada no es válida?

El base64 puede estar truncado, contener caracteres extraños o ser otro formato, como una clave privada o un paquete PKCS#12. Asegúrate de pegar el cuerpo completo del certificado y de que las líneas de cabecera y pie coincidan con el contenido.

¿Puede verificar si el certificado es de confianza o ha caducado?

Muestra las fechas not-before y not-after para que juzgues la caducidad tú mismo, pero no valida el certificado contra un almacén de confianza ni comprueba la revocación. Es un decodificador de solo lectura, no un validador de cadena.