S jakým předstihem bych měl být varován před vypršením SSL?

Standardní prahy varování jsou 30, 14, 7, 3 a 1 den před expirací. Třicet dní umožňuje naplánovat obnovu v pracovní době; kratší upozornění zvyšují naléhavost. Pokud spoléháš na auto-obnovu (Let's Encrypt s certbotem), 7denní alert je okamžik ke kontrole, zda se obnova skutečně provedla — tiché chyby obnovení jsou běžné a zachytí je pouze nezávislý monitoring.

Zaznamená monitoring SSL problémy s řetězcem nebo neodpovídajícím hostname?

Ano. Monitor provádí reálný TLS handshake a kontroluje servírovaný certifikát. Pokud je certifikát expirovaný, self-signed, má neshodu CN/SAN s hostname nebo je podepsaný neznámou CA, check selže se specifickou chybou. Zachytí to problémy jako "certifikát je technicky platný, ale špatně nainstalovaný", které hlásí i prohlížeče.

Co když je certifikát platný, ale chybí intermediární CA?

Chybějící intermediární certifikáty způsobují chybu "chain incomplete" v mnoha TLS klientech (curl, starší Android zařízení), i když desktopové prohlížeče mohou řetězec automaticky doplnit. Náš SSL check vyžaduje kompletní platný řetězec — pokud chybí mezičlánek, kontrola selže a ukáže problém dřív, než na něj narazí mobilní uživatelé.

Mohu sledovat SSL na nestandardních portech (např. 8443, poštovní servery)?

Ano — nastav URL monitoru s portem (např. https://api.example.com:8443/). Monitor se připojí na daný port a provede TLS handshake, ze kterého načte certifikát. Stejně to funguje i pro SMTP STARTTLS, IMAP/POP3 TLS a další protokoly, které obalují TLS na vlastních portech.

Používá monitoring SSL další kredity?

Ne. TLS handshake a kontrola certifikátu je součástí každé HTTPS kontroly — bez dalšího poplatku. Varování o expiraci na 5 prazích jsou rovněž zdarma. Pouze WHOIS dotazy na expiraci domény fungují jako samostatná denní funkce.

Monitorování SSL certifikátů — upozornění za 30/14/7/3/1 dní

Expirací SSL certifikátu přestanou všechny prohlížeče přesně o půlnoci fungovat. Předejděte tomu s více než 30denním předstihem.

Náklady na promeškané obnovení SSL

SSL certifikát, který vyprší ve 23:59:59, se nevytrácí pozvolna. Ve 00:00:00 následujícího dne začne každý prohlížeč zobrazovat celoobrazovkové bezpečnostní varování, každý API klient selhává při TLS handshake, každý webhook integrátor hlásí chybu, každé vyhledávače snižují vaše pozice, každý e-mail je odmítnut, pokud certifikát pokrýval také SMTP. Oprava je rychlá – znovuvystavení, redeploy – ale okno mezi vypršením a nápravou je kruté, protože certifikát si nikdo nevšimne před půlnocí, jen po ní.

Sledování SSL existuje, aby sis ale všiml před půlnocí. Monitor čte certifikát z živého hostitele, parsuje období platnosti a varuje s velkým předstihem – 30 dní, 14 dní, 7 dní, 3 dny, 1 den – takže obnovení nikdy není překvapením.

Co je sledováno

Pro každou monitorovanou HTTPS stránku DiagnoSEO Uptime Monitoring naváže TLS spojení, zachytí peer certifikát a analyzuje ho. Z toho dashboard uloží:

Platnost: je certifikát právě teď v platnosti?
Dny do expirace: průběžný počet, zobrazený jako barevná pečeť (zelená >30 dní, oranžová 8–30, červená <8).
Datum expirace: přesné datum.
Vystavitel: kdo certifikát podepsal (Let's Encrypt, DigiCert, GlobalSign atd.)
Subject: common name na certifikátu.

Pokud se certifikát stane neplatným – vypršel, neplatný hostname, poškozený řetězec, self-signed pokud nemá být – monitor hlásí SSL invalid bez ohledu na status HTTP. Stav "rozbité HTTPS, ale server běží" je ihned viditelný.

Prahové hodnoty varování

Nástroj spustí varování SSL na pěti prazích: 30, 14, 7, 3 a 1 den před vypršením. Každý je samostatný alert. Pokud máš zapnutý e-mail i Telegram, dostaneš pět upozornění, jak se blíží expirace – čím dál urgentnějších. První (30 dní) je pro plánování. 14denní pro "ne, opravdu, udělej to tento týden". 7, 3 a 1denní jsou pro případy, kdy obnova neproběhla a někdo musí být ihned upozorněn.

Můžeš je vypnout podle kanálu – některé týmy chtějí SSL alerty jen e-mailem, ne na Slacku/Telegramu (kde by mohly zapadnout v šumu). Nastav to v Oznámeních.

Proč auto-obnovení nestačí

Pokud používáš Let's Encrypt s certbotem nebo podobným, možná si myslíš, že monitoring SSL je zbytečný. Není. Auto-obnovení může selhat na mnoho způsobů: e-mail účtu certbotu je neplatný, ACME challenge padá kvůli změně firewallu, CRON obnovy přestane fungovat, restart kontejneru vymaže stav obnovy, validace domény selže změnou DNS. Ve všech těchto případech certifikát směřuje k expiraci a auto-obnovení tě nezachrání. Monitorování SSL je bezpečnostní síť, která zachytí, co automatizace přehlédla.

Pro interní certifikáty (firemní CA, mutual TLS) obvykle není auto-obnovení vůbec – sledování SSL je jediný proaktivní signál, že je potřeba obnovit.

Konfigurace

Monitoring SSL je automatický pro každý HTTPS monitor v DiagnoSEO Uptime Monitoring. Nemusíš ho zapínat zvlášť. Při příštím hlubším ověření (do 24h od přidání monitoru nebo ihned po kliknutí "Zkontrolovat nyní") se sekce SSL v řádku naplní vystavitelem, datem expirace a zbývajícími dny. Od tohoto momentu monitor hlídá certifikát a alarmuje na prazích 30/14/7/3/1 den.

Pro monitory jiné než HTTPS se SSL ignoruje. Pro monitory s vlastním SSL portem nástroj zkusí odpovídající port (443 standardně; 465 pro SMTPS, 993 pro IMAPS atd. podle typu monitoru).

Nejčastější dotazy

S jakým předstihem bych měl být varován před vypršením SSL?
Standardní prahy varování jsou 30, 14, 7, 3 a 1 den před expirací. Třicet dní umožňuje naplánovat obnovu v pracovní době; kratší upozornění zvyšují naléhavost. Pokud spoléháš na auto-obnovu (Let's Encrypt s certbotem), 7denní alert je okamžik ke kontrole, zda se obnova skutečně provedla — tiché chyby obnovení jsou běžné a zachytí je pouze nezávislý monitoring.
Zaznamená monitoring SSL problémy s řetězcem nebo neodpovídajícím hostname?
Ano. Monitor provádí reálný TLS handshake a kontroluje servírovaný certifikát. Pokud je certifikát expirovaný, self-signed, má neshodu CN/SAN s hostname nebo je podepsaný neznámou CA, check selže se specifickou chybou. Zachytí to problémy jako „certifikát je technicky platný, ale špatně nainstalovaný“, které hlásí i prohlížeče.
Co když je certifikát platný, ale chybí intermediární CA?
Chybějící intermediární certifikáty způsobují chybu „chain incomplete“ v mnoha TLS klientech (curl, starší Android zařízení), i když desktopové prohlížeče mohou řetězec automaticky doplnit. Náš SSL check vyžaduje kompletní platný řetězec — pokud chybí mezičlánek, kontrola selže a ukáže problém dřív, než na něj narazí mobilní uživatelé.
Mohu sledovat SSL na nestandardních portech (např. 8443, poštovní servery)?
Ano — nastav URL monitoru s portem (např. https://api.example.com:8443/). Monitor se připojí na daný port a provede TLS handshake, ze kterého načte certifikát. Stejně to funguje i pro SMTP STARTTLS, IMAP/POP3 TLS a další protokoly, které obalují TLS na vlastních portech.
Používá monitoring SSL další kredity?
Ne. TLS handshake a kontrola certifikátu je součástí každé HTTPS kontroly — bez dalšího poplatku. Varování o expiraci na 5 prazích jsou rovněž zdarma. Pouze WHOIS dotazy na expiraci domény fungují jako samostatná denní funkce.

Monitorování SSL certifikátů