Hvor lang tid i forvejen bør jeg få advarsel om SSL-udløb?

De standard advarselsniveauer er 30, 14, 7, 3 og 1 dag før udløb. 30 dage giver tid til at planlægge fornyelsen inden for normal arbejdstid; de kortere advarsler øger hasten. Hvis du stoler på auto-fornyelse (Let's Encrypt med certbot), er 7-dages advarslen tidspunktet til at tjekke, om fornyelsen faktisk er sket — stille fejl er almindelige og fanges kun af uafhængig overvågning.

Vil SSL-overvågning opdage kædeproblemer eller hostname-mismatch?

Ja. Overvågningen udfører en rigtig TLS-handshake og tjekker det leverede certifikat. Hvis certifikatet er udløbet, self-signed, har CN/SAN mismatch med hostname eller er signeret af ukendt CA, fejler tjekket med en specifik fejl. Det opfanger problemer som "certifikatet er teknisk gyldigt men dårligt installeret", som browsere også markerer.

Hvad hvis certifikatet er gyldigt, men en mellem-CA mangler?

Manglende intermediate-certifikater forårsager fejlen "chain incomplete" i mange TLS-klienter (curl, ældre Android-enheder) selvom desktop-browsere ofte kan auto-hente kæden. Vores SSL-tjek kræver en komplet, gyldig kæde — mangler den, fejler tjekket og viser problemet, før mobile brugere opdager det.

Kan jeg overvåge SSL på custom-porte (fx 8443, mailservere)?

Ja — opsæt monitorens URL med port (fx https://api.example.com:8443/). Overvågningen forbinder til denne port for TLS-handshake og læser certifikatet. Det fungerer også for SMTP STARTTLS, IMAP/POP3 TLS og andre protokoller, der benytter TLS på ikke-standardporte.

Bruger SSL-overvågning ekstra credits?

Nej. TLS-handshake og certifikat-tjek sker som en del af hvert HTTPS-tjek – uden ekstra omkostning. Udløbsadvarslerne på 5 niveauer er også gratis. WHOIS-opslag for domæneudløb er den eneste ekstra funktion, der kører på et separat dagligt skema.

Overvågning af SSL-certifikater — advarsler efter 30/14/7/3/1 dage

Et udløbet SSL-certifikat får enhver browser på jorden til at fejle præcis ved midnat. Grib dem med over 30 dages varsel.

Omkostninger ved forpasset SSL-fornyelse

Et SSL-certifikat, der udløber kl. 23:59:59, nedgraderes ikke gradvist. Kl. 00:00:00 næste dag begynder enhver browser at vise en fuldskærms sikkerhedsadvarsel, enhver API-klient fejler ved TLS-handshake, enhver webhook-integrator returnerer fejl, enhver søgemaskine nedgraderer dine placeringer, og enhver e-mail bouncer, hvis certifikatet også dækkede SMTP. Reparationen er hurtig – genudstedelse, genudrulning – men vinduet mellem udløb og løsning er barskt, fordi ingen lægger mærke til certifikatet før midnat, kun bagefter.

SSL-overvågning eksisterer netop, så du ser det FØR midnat. Overvågningen læser certifikatet fra den levende vært, parser gyldighedsperioden og advarer dig i god tid – 30 dage, 14 dage, 7 dage, 3 dage, 1 dag – så fornyelsen aldrig kommer bag på dig.

Hvad der overvåges

For hver overvåget HTTPS-side åbner DiagnoSEO Uptime Monitoring en TLS-forbindelse, indhenter peer-certifikatet og parser det. Dashboardet gemmer da:

Gyldighed: Er certifikatet aktuelt inden for sin gyldighedsperiode?
Dage til udløb: løbende tælling, vist som et farvet mærke (grønt >30 dage, orange 8-30, rødt <8).
Udløbsdato: den præcise dato.
Udsteder: Hvem har signeret certifikatet (Let's Encrypt, DigiCert, GlobalSign osv.)
Subject: common name på certifikatet.

Hvis certifikatet bliver ugyldigt – udløbet, forkert hostname, ødelagt kæde, self-signed hvor det ikke burde være – rapporterer overvågningen SSL invalid uanset HTTP-status. Tilstanden "ødelagt HTTPS, men serveren kører" bliver straks synlig.

Advarselsniveauer

Værktøjet udløser SSL-advarsler på fem niveauer: 30, 14, 7, 3 og 1 dag før udløb. Hver af dem er et separat varsel. Hvis du har e-mail og Telegram aktiveret, vil du modtage fem påmindelser, når udløbet nærmer sig – mere og mere presserende. Den første (30 dage) er til planlægning. 14-dages er til "nej, seriøst, få det gjort i denne uge". 7-, 3- og 1-dags påmindelser eksisterer i tilfælde af fornyelsen ikke gennemføres, og nogen straks skal alarmeres.

Du kan slå dem fra pr. kanal – nogle teams ønsker kun SSL-advarsler på mail og ikke på Slack/Telegram (hvor de ellers kan drukne i støj). Konfigurer dette under Notifikationer.

Hvorfor auto-fornyelse ikke er nok

Hvis du bruger Let's Encrypt med certbot eller lignende, tænker du måske, at SSL-overvågning er unødvendig. Det er den ikke. Auto-fornyelse kan fejle på mange måder: certbot-kontoens e-mail bliver ugyldig, ACME-challenges fejler pga. ændret firewall, cron-jobbet for fornyelse stopper, container-restart sletter fornyelsesstatus, domænevalidering fejler pga. DNS-ændring. I alle disse tilfælde nærmer certifikatet sig udløb, og auto-fornyelse redder dig ikke. SSL-overvågning er sikkerhedsnettet, der fanger det, automatiseringen overser.

For interne certifikater (firmas CA, mutual TLS) er der typisk slet ikke auto-fornyelse – SSL-overvågning er det eneste proaktive signal om, at fornyelse er nødvendig.

Opsætning

SSL-overvågning er automatisk for enhver HTTPS-monitor i DiagnoSEO Uptime Monitoring. Du behøver ikke aktivere det særskilt. Næste gang det dybere tjek køres (indenfor 24 timer efter tilføjelse af monitoren eller straks efter at have klikket "Tjek nu"), udfyldes SSL-sektionen i rækken med udsteder, udløbsdato og resterende dage. Fra dette tidspunkt holder overvågningen øje med certifikatet og advarer på 30/14/7/3/1-dages niveauerne.

For monitorer, der ikke er HTTPS, ignoreres SSL. For monitorer med custom SSL-port forsøger værktøjet at bruge den korrekte port (443 som standard; 465 for SMTPS, 993 for IMAPS osv. afhængigt af monitortype).

Ofte stillede spørgsmål

Hvor lang tid i forvejen bør jeg få advarsel om SSL-udløb?
De standard advarselsniveauer er 30, 14, 7, 3 og 1 dag før udløb. 30 dage giver tid til at planlægge fornyelsen inden for normal arbejdstid; de kortere advarsler øger hasten. Hvis du stoler på auto-fornyelse (Let's Encrypt med certbot), er 7-dages advarslen tidspunktet til at tjekke, om fornyelsen faktisk er sket — stille fejl er almindelige og fanges kun af uafhængig overvågning.
Vil SSL-overvågning opdage kædeproblemer eller hostname-mismatch?
Ja. Overvågningen udfører en rigtig TLS-handshake og tjekker det leverede certifikat. Hvis certifikatet er udløbet, self-signed, har CN/SAN mismatch med hostname eller er signeret af ukendt CA, fejler tjekket med en specifik fejl. Det opfanger problemer som "certifikatet er teknisk gyldigt men dårligt installeret", som browsere også markerer.
Hvad hvis certifikatet er gyldigt, men en mellem-CA mangler?
Manglende intermediate-certifikater forårsager fejlen "chain incomplete" i mange TLS-klienter (curl, ældre Android-enheder) selvom desktop-browsere ofte kan auto-hente kæden. Vores SSL-tjek kræver en komplet, gyldig kæde — mangler den, fejler tjekket og viser problemet, før mobile brugere opdager det.
Kan jeg overvåge SSL på custom-porte (fx 8443, mailservere)?
Ja — opsæt monitorens URL med port (fx https://api.example.com:8443/). Overvågningen forbinder til denne port for TLS-handshake og læser certifikatet. Det fungerer også for SMTP STARTTLS, IMAP/POP3 TLS og andre protokoller, der benytter TLS på ikke-standardporte.
Bruger SSL-overvågning ekstra credits?
Nej. TLS-handshake og certifikat-tjek sker som en del af hvert HTTPS-tjek – uden ekstra omkostning. Udløbsadvarslerne på 5 niveauer er også gratis. WHOIS-opslag for domæneudløb er den eneste ekstra funktion, der kører på et separat dagligt skema.

Overvågning af SSL-certifikater