Aller au contenu principal

Analyseur de CSR

Inspectez un CSR en quelques secondes

Validez ce qui figurera sur votre certificat SSL/TLS avant de l'envoyer à une autorité de certification. Détectez un SAN manquant, une clé trop courte ou un algorithme faible.

Décodage instantané

Collez votre CSR et obtenez immédiatement le sujet, les SAN, le type de clé et l'algorithme de signature. Aucune installation requise.

Validation pré-soumission

Vérifiez que tous les domaines sont présents dans les SAN avant d'envoyer le CSR à votre CA. Évitez les allers-retours coûteux.

Analyse de sécurité

Contrôlez la taille de clé (RSA 2048+ ou EC P-256/P-384) et l'algorithme de signature (SHA-256 minimum) pour respecter les standards actuels.

Détection des erreurs

Identifiez les problèmes courants : SAN manquants, CN obsolète, clé trop faible, encodage IDN incorrect. Corrigez avant soumission.

Exemples OpenSSL

Consultez les commandes OpenSSL pour générer un CSR RSA ou EC avec SAN. Copiez-collez et adaptez à votre domaine.

Pourquoi utiliser cet analyseur ?

Validez ce qui figurera sur votre certificat avant de l'envoyer à une autorité de certification (AC). Détectez un SAN manquant, une clé trop courte, un algorithme faible ou un encodage IDN douteux. Gagnez du temps lors d'un onboarding ou d'un renouvellement en lisant tout de suite les champs utiles.

Qu'est-ce qu'un CSR ?

Un Certificate Signing Request est un fichier texte au format PEM qui contient :

  • Votre clé publique (RSA ou EC)
  • Des informations d'identité : sujet (CN, O, OU, L, ST, C) et SAN
  • Une signature faite avec votre clé privée pour prouver la possession

Le CSR est transmis à une AC (Let's Encrypt, DigiCert, GlobalSign, Sectigo...) qui délivre le certificat si la vérification passe (DV, OV ou EV).

Quand générer un CSR ?

Cas d'usageDescription
Nouveau certificatCréation d'un certificat TLS pour serveur web, API, MTA
RenouvellementRenouveler un certificat existant avec une nouvelle paire de clés
Ajout de SANAjouter un nouveau sous-domaine ou FQDN au certificat
Migration RSA vers ECPasser à une clé EC pour de meilleures performances
NormalisationHarmoniser les champs d'un parc hétérogène

Ce que doit contenir un bon CSR

Champs obligatoires

  • SAN (Subject Alternative Names) : liste de tous les noms couverts, y compris le domaine nu si nécessaire. Sans SAN, beaucoup d'AC refusent.
  • Clé publique : RSA 2048 bits minimum (idéal 3072) ou EC P-256/P-384
  • Signature : SHA-256 recommandé (SHA-1 refusé)

Champs optionnels

  • Subject CN : souvent ignoré par les AC modernes, mais gardez-le par compatibilité
  • O, OU, L, ST, C : utiles pour OV/EV, inutiles pour DV
  • Key Usage / Extended Key Usage : selon vos besoins spécifiques

Important : Un CN seul ne suffit plus. Les SAN sont obligatoires pour la plupart des AC.

Exemples OpenSSL

CSR RSA 3072 avec SAN

Fichier san.cnf :

[ req ]
prompt = no
distinguished_name = dn
req_extensions = v3_req
[ dn ]
CN = www.exemple.com
[ v3_req ]
subjectAltName = @alt
[ alt ]
DNS.1 = www.exemple.com
DNS.2 = exemple.com

Commande :

openssl req -new -newkey rsa:3072 -nodes -keyout site.key -out site.csr -config san.cnf

CSR EC P-256 avec SAN

openssl ecparam -name prime256v1 -genkey -noout -out site.key
openssl req -new -key site.key -out site.csr -config san.cnf

Domaines internationalisés (IDN)

Utilisez le punycode (xn--...) dans les SAN pour éviter les surprises d'encodage.

Erreurs fréquentes

ErreurImpactSolution
SAN manquantsCertificat couvre moins de noms que prévuAjouter tous les domaines dans la section [alt]
RSA 1024 ou SHA-1Refus probable par l'ACUtiliser RSA 2048+ et SHA-256
Clé privée exposéeCompromission de sécuritéNe jamais coller la clé privée en ligne
IDN mal encodéDomaine non reconnuUtiliser le punycode exact
Wildcard sans domaine nu*.exemple.com ne couvre pas exemple.comAjouter les deux dans les SAN

Bonnes pratiques

  1. Générer la paire de clés côté serveur et garder la clé privée hors de tout partage
  2. Préférer EC P-256/P-384 ou RSA 3072+ pour les nouveaux déploiements
  3. Limiter la liste des SAN à ce qui est réellement utile
  4. Conserver un journal : date, sujet, SAN, taille de clé, responsable
  5. Tester le CSR après génération pour éviter un aller-retour avec l'AC

Confidentialité

Votre CSR est envoyé à l'API CaptainDNS uniquement pour être décodé et affiché. Le contenu n'est pas conservé. Aucun champ n'est journalisé en clair. Seules des métriques techniques anonymes sont enregistrées (durée de traitement, taille, type de clé, algorithme) pour le suivi de disponibilité.