С какво предварение трябва да бъда предупреден за изтичане на SSL?

Стандартните прагове за предупреждения са 30, 14, 7, 3 и 1 ден преди изтичане. Тридесет дни дават време за планиране на подновяването в работно време; по-кратките известия повишават спешността. Ако разчиташ на авто-подновяване (Let's Encrypt с certbot), 7-дневното предупреждение е моментът да провериш дали подновяването наистина е станало – тихите провали с подновяването са чести и ги засича само независим мониторинг.

Може ли мониторингът на SSL да засече проблеми с веригата или несъответствие на hostname?

Да. Мониторът прави реален TLS handshake и проверява предоставения сертификат. Ако сертификатът е изтекъл, self-signed, има несъответствие между CN/SAN и hostname или е подписан от неизвестен CA, проверката се проваля със специфична грешка. Така се засичат случаи „сертификатът е технически валиден, но е инсталиран грешно“, които и браузърите отбелязват.

Какво ако сертификатът е валиден, но липсва междинният CA?

Липсващи междинни сертификати водят до грешка „chain incomplete“ в много TLS клиенти (curl, по-стари Android устройства), дори когато десктоп браузърите могат да изтеглят веригата автоматично. Нашата SSL проверка изисква пълна, валидна верига – ако липсва междинен сертификат, проверката се проваля, като показва проблема, преди да го забележат мобилните потребители.

Мога ли да мониторим SSL на нестандартни портове (напр. 8443, пощенски сървъри)?

Да — конфигурирай URL адреса на монитора с порт (напр. https://api.example.com:8443/). Мониторът ще се свърже с този порт за TLS handshake и ще прочете сертификата. Същото работи за SMTP STARTTLS, IMAP/POP3 TLS и други протоколи, които капсулират TLS на персонализирани портове.

Мониторингът на SSL ползва ли допълнителни кредити?

Не. TLS handshake и проверката на сертификата се извършват като част от всяка HTTPS проверка – без допълнителна цена. Известията за изтичане на 5-те прага също са безплатни. WHOIS справките за изтичане на домейн са единствената помощна функция, която работи на отделен дневен график.

Мониторинг на SSL сертификати — известия за 30/14/7/3/1 дни

Изтекъл SSL сертификат спира работата на всеки браузър в света точно в полунощ. Открийте ги с над 30 дни аванс.

Цената на изпуснатото подновяване на SSL

SSL сертификат, който изтича в 23:59:59 не се влошава поетапно. В 00:00:00 на следващия ден всеки браузър започва да показва пълноекранно предупреждение за сигурност, всеки API клиент се проваля при TLS handshake, всеки webhook интегратор връща грешка, всяка търсачка понижава класирането ти, всеки имейл се връща, ако сертификатът покриваше и SMTP. Поправката е бърза – преиздаване, преинсталиране – но прозорецът между изтичането и разрешаването е брутален, защото никой не забелязва сертификата преди полунощ, само след нея.

SSL мониторингът съществува, за да можеш да забележиш преди полунощ. Мониторът чете сертификата от живия хост, парсира валидния период и предупреждава с голям аванс – 30 дни, 14 дни, 7 дни, 3 дни, 1 ден – така че подновяването никога не е изненада.

Какво се мониторира

За всеки наблюдаван HTTPS сайт DiagnoSEO Uptime Monitoring отваря TLS връзка, улавя peer сертификата и го парсира. От това таблото записва:

Валидност: сертификатът в момента в периода си на валидност ли е?
Дни до изтичане: брои се динамично, показва се като цветен индикатор (зелен >30 дни, оранжев 8-30, червен <8).
Дата на изтичане: точна дата.
Издател: кой е подписал сертификата (Let's Encrypt, DigiCert, GlobalSign и т.н.)
Subject: common name на сертификата.

Ако сертификатът стане невалиден – изтекъл, неправилен hostname, счупена верига, self-signed когато не трябва – мониторът докладва SSL invalid независимо от HTTP статуса. Състоянието „счупен HTTPS, но сървърът работи“ става видимо веднага.

Праг на предупреждения

Инструментът изпраща SSL предупреждения на пет прага: 30, 14, 7, 3 и 1 ден преди изтичане. Всяко е отделно известие. Ако имаш активирани имейл и Telegram, ще получиш пет напомняния, докато наближава изтичането – всяко по-настойчиво. Първото (30 дни) е за планиране. 14-дневното е „не, наистина, направи го тази седмица“. 7, 3 и 1-дневните са за случаите, когато подновяването не е станало и някой трябва да бъде незабавно уведомен.

Можеш да ги изключваш по канал – някои екипи искат SSL предупреждения само по имейл, не в Slack/Telegram (където може да се изгубят в потока). Конфигурирай това в секцията Известия.

Защо авто-подновяването не е достатъчно

Ако използваш Let's Encrypt с certbot или подобен, може да мислиш, че SSL мониторингът е излишен. Не е така. Автоматичното подновяване може да се провали по много начини: имейлът на certbot акаунта става невалиден, ACME предизвикателствата падат заради промяна във firewall правилата, cron за подновяване спира да работи, рестарт на контейнер изтрива статуса на подновяването, валидацията на домейна отпада при смяна на DNS. Във всички тези случаи сертификатът върви към изтичане, а auto-renewal няма да те спаси. SSL мониторингът е мрежата за сигурност, която хваща това, което автоматизацията е пропуснала.

За вътрешни сертификати (корпоративен CA, mutual TLS) обикновено няма изобщо auto-renewal – SSL мониторингът е единственият проактивен сигнал, че има нужда от подновяване.

Конфигурация

SSL мониторингът е автоматичен за всеки HTTPS монитор в DiagnoSEO Uptime Monitoring. Не е нужно да се активира отделно. Следващия път, когато се задейства по-задълбочена проверка (в рамките на 24 часа след добавяне на монитор или непосредствено след клик на "Провери сега"), SSL секцията на реда ще се попълни с издател, дата на изтичане и оставащи дни. От този момент мониторът следи сертификата и алармира на праговете 30/14/7/3/1 ден.

За монитори, различни от HTTPS, SSL се пропуска. За монитори с нестандартен SSL порт, инструментът опитва съответния порт (443 по подразбиране; 465 за SMTPS, 993 за IMAPS и т.н. според типа на монитора).

Често задавани въпроси

С какво предварение трябва да бъда предупреден за изтичане на SSL?
Стандартните прагове за предупреждения са 30, 14, 7, 3 и 1 ден преди изтичане. Тридесет дни дават време за планиране на подновяването в работно време; по-кратките известия повишават спешността. Ако разчиташ на авто-подновяване (Let's Encrypt с certbot), 7-дневното предупреждение е моментът да провериш дали подновяването наистина е станало – тихите провали с подновяването са чести и ги засича само независим мониторинг.
Може ли мониторингът на SSL да засече проблеми с веригата или несъответствие на hostname?
Да. Мониторът прави реален TLS handshake и проверява предоставения сертификат. Ако сертификатът е изтекъл, self-signed, има несъответствие между CN/SAN и hostname или е подписан от неизвестен CA, проверката се проваля със специфична грешка. Така се засичат случаи „сертификатът е технически валиден, но е инсталиран грешно“, които и браузърите отбелязват.
Какво ако сертификатът е валиден, но липсва междинният CA?
Липсващи междинни сертификати водят до грешка „chain incomplete“ в много TLS клиенти (curl, по-стари Android устройства), дори когато десктоп браузърите могат да изтеглят веригата автоматично. Нашата SSL проверка изисква пълна, валидна верига – ако липсва междинен сертификат, проверката се проваля, като показва проблема, преди да го забележат мобилните потребители.
Мога ли да мониторим SSL на нестандартни портове (напр. 8443, пощенски сървъри)?
Да — конфигурирай URL адреса на монитора с порт (напр. https://api.example.com:8443/). Мониторът ще се свърже с този порт за TLS handshake и ще прочете сертификата. Същото работи за SMTP STARTTLS, IMAP/POP3 TLS и други протоколи, които капсулират TLS на персонализирани портове.
Мониторингът на SSL ползва ли допълнителни кредити?
Не. TLS handshake и проверката на сертификата се извършват като част от всяка HTTPS проверка – без допълнителна цена. Известията за изтичане на 5-те прага също са безплатни. WHOIS справките за изтичане на домейн са единствената помощна функция, която работи на отделен дневен график.

Мониторинг на SSL сертификати