Mit welchem Vorlauf sollte ich vor dem Ablauf meines SSL-Zertifikats gewarnt werden?

Die Standard-Warnschwellen sind 30, 14, 7, 3 und 1 Tag(e) vor Ablauf. Dreißig Tage gibt Zeit, die Verlängerung in der Arbeitszeit zu planen; kürzere Alarme steigern die Dringlichkeit. Wenn Du auf Auto-Renewal (Let's Encrypt mit certbot) setzt, ist die 7-Tage-Benachrichtigung der Moment zu prüfen, ob die Erneuerung tatsächlich erfolgt ist – stille Renewal-Fehler sind häufig und werden nur durch unabhängiges Monitoring erkannt.

Erkennt das SSL-Monitoring Probleme mit der Zertifikatkette oder Hostnamen-Unstimmigkeiten?

Ja. Der Monitor macht einen echten TLS-Handshake und prüft das ausgelieferte Zertifikat. Ist das Zertifikat abgelaufen, selbst-signiert, gibt es Abweichungen zwischen CN/SAN und Hostname oder ist es von einer unbekannten CA signiert, schlägt der Check mit einem spezifischen Fehler fehl. So werden Probleme erkannt wie "das Zertifikat ist technisch gültig, aber falsch installiert", die auch Browser markieren.

Was ist, wenn das Zertifikat gültig ist, aber ein Intermediate-CA fehlt?

Fehlende Zwischenzertifikate verursachen bei vielen TLS-Clients (curl, ältere Android-Geräte) den Fehler "chain incomplete", auch wenn Desktop-Browser die Kette manchmal automatisch ergänzen. Unser SSL-Check verlangt eine vollständige, gültige Chain – fehlt ein Intermediate, scheitert der Check und zeigt das Problem, bevor Mobile-Nutzer betroffen sind.

Kann ich SSL auf benutzerdefinierten Ports überwachen (z. B. 8443, Mailserver)?

Ja — gib die Monitor-URL mit dem Port an (z. B. https://api.example.com:8443/). Der Monitor verbindet sich auf diesem Port für den TLS-Handshake und liest das Zertifikat aus. Das funktioniert ebenso für SMTP STARTTLS, IMAP/POP3 TLS und andere Protokolle, die TLS auf Custom-Ports einsetzen.

Verbraucht das SSL-Monitoring zusätzliche Credits?

Nein. TLS-Handshake und Zertifikatsprüfung sind Teil jedes HTTPS-Checks – ohne Extra-Kosten. Auch die fünffachen Ablauf-Alerts sind kostenlos. WHOIS-Lookups für Domainablauf sind die einzige Zusatzfunktion, die nach eigenem täglichen Rhythmus läuft.

SSL-Zertifikat-Überwachung — 30/14/7/3/1 Tage Warnungen

Ein abgelaufenes SSL-Zertifikat blockiert jeden Browser der Welt Punkt Mitternacht. Entdecken Sie sie mit über 30 Tagen Vorlauf.

Die Kosten eines verpassten SSL-Zertifikat-Refreshs

Ein SSL-Zertifikat, das um 23:59:59 abläuft, verschwindet nicht sanft. Um 00:00:00 am nächsten Tag zeigt jeder Browser eine bildschirmfüllende Sicherheitswarnung, jeder API-Client scheitert am TLS-Handshake, jeder Webhook-Integrator gibt einen Fehler zurück, jede Suchmaschine stuft Dein Ranking herab, jede E-Mail wird abgelehnt, falls das Zertifikat auch SMTP abdeckte. Die Reparatur geht zwar schnell – Reissue, Redeployment – aber das Fenster zwischen Ablauf und Lösung ist gnadenlos, weil niemand das Zertifikat vor Mitternacht bemerkt, sondern erst danach.

SSL-Monitoring existiert genau dafür, dass Du es eben vor Mitternacht siehst. Der Monitor liest das Zertifikat vom Live-Host, parst den Gültigkeitszeitraum und warnt weit im Voraus – 30 Tage, 14 Tage, 7 Tage, 3 Tage, 1 Tag – sodass die Verlängerung niemals eine Überraschung ist.

Was überwacht wird

Für jede überwachte HTTPS-Seite öffnet DiagnoSEO Uptime Monitoring eine TLS-Verbindung, erfasst das Peer-Zertifikat und parst es. Das Dashboard speichert daraus:

Gültigkeit: Ist das Zertifikat aktuell innerhalb der Gültigkeitsdauer?
Tage bis zum Ablauf: Rollierender Zähler, angezeigt als farbiges Badge (grün >30 Tage, orange 8–30, rot <8).
Ablaufdatum: Das genaue Datum.
Aussteller: Wer hat das Zertifikat signiert (Let's Encrypt, DigiCert, GlobalSign usw.)
Subject: Der Common Name im Zertifikat.

Wird ein Zertifikat ungültig – abgelaufen, falscher Hostname, kaputte Chain, Self-Signed wenn es nicht sein sollte – meldet der Monitor unabhängig vom HTTP-Status ein ungültiges SSL. Der Zustand „kaputtes HTTPS, aber Server läuft“ wird damit sofort sichtbar.

Warnschwellen

Das Tool löst SSL-Warnungen bei fünf Schwellenwerten aus: 30, 14, 7, 3 und 1 Tag(e) vor Ablauf. Jeder ist ein eigener Alarm. Wenn Du E-Mail und Telegram aktiviert hast, bekommst Du fünf Erinnerungen, je näher das Ablaufdatum rückt – immer dringlicher. Die erste (30 Tage) ist zum Planen gedacht. Die 14-Tage-Erinnerung ist „nein, ernsthaft, mach es diese Woche“. Die Benachrichtigungen für 7, 3 und 1 Tag gibt es für den Fall, dass die Verlängerung nicht stattgefunden hat und sofort jemand reagiert werden muss.

Du kannst sie pro Kanal deaktivieren – manche Teams möchten SSL-Alarme nur per E-Mail, nicht auf Slack/Telegram (wo sie in der Flut untergehen könnten). Konfiguriere das in den Benachrichtigungen.

Warum Auto-Renewal nicht ausreicht

Wenn Du Let's Encrypt mit certbot oder ähnlichem nutzt, glaubst Du vielleicht, dass SSL-Monitoring überflüssig ist. Ist es nicht. Auto-Renew kann auf viele Arten scheitern: Die E-Mail des certbot-Kontos wird ungültig, ACME-Challenges schlagen fehl durch Firewall-Änderungen, der Renewal-Cronjob funktioniert nicht mehr, ein Container-Restart löscht den Renewal-Status, Domainvalidierung scheitert durch DNS-Änderung. In all diesen Fällen läuft das Zertifikat auf den Ablauf zu und Auto-Renewal hilft nicht. SSL-Monitoring ist das Sicherheitsnetz, das auffängt, was die Automatisierung übersieht.

Für interne Zertifikate (unternehmenseigenes CA, Mutual TLS) gibt es oft gar kein Auto-Renewal – SSL-Monitoring ist dann das einzige proaktive Signal, dass eine Verlängerung nötig ist.

Konfiguration

SSL-Monitoring ist für jeden HTTPS-Monitor in DiagnoSEO Uptime Monitoring automatisch aktiv. Es muss nicht extra eingeschaltet werden. Beim nächsten tieferen Check (innerhalb von 24h nach Hinzufügen oder sofort nach „Jetzt prüfen“) füllt sich die SSL-Sektion mit Aussteller, Ablaufdatum und verbleibenden Tagen. Ab dann überwacht der Monitor das Zertifikat und alarmiert bei den Schwellen 30/14/7/3/1 Tag(e).

Für andere Monitortypen als HTTPS wird SSL übersprungen. Bei Monitoren mit Custom-SSL-Port versucht das Tool den passenden Port (443 Standard; 465 für SMTPS, 993 für IMAPS usw. je nach Typ).

Häufig gestellte Fragen

Mit welchem Vorlauf sollte ich vor dem Ablauf meines SSL-Zertifikats gewarnt werden?
Die Standard-Warnschwellen sind 30, 14, 7, 3 und 1 Tag(e) vor Ablauf. Dreißig Tage gibt Zeit, die Verlängerung in der Arbeitszeit zu planen; kürzere Alarme steigern die Dringlichkeit. Wenn Du auf Auto-Renewal (Let's Encrypt mit certbot) setzt, ist die 7-Tage-Benachrichtigung der Moment zu prüfen, ob die Erneuerung tatsächlich erfolgt ist – stille Renewal-Fehler sind häufig und werden nur durch unabhängiges Monitoring erkannt.
Erkennt das SSL-Monitoring Probleme mit der Zertifikatkette oder Hostnamen-Unstimmigkeiten?
Ja. Der Monitor macht einen echten TLS-Handshake und prüft das ausgelieferte Zertifikat. Ist das Zertifikat abgelaufen, selbst-signiert, gibt es Abweichungen zwischen CN/SAN und Hostname oder ist es von einer unbekannten CA signiert, schlägt der Check mit einem spezifischen Fehler fehl. So werden Probleme erkannt wie "das Zertifikat ist technisch gültig, aber falsch installiert", die auch Browser markieren.
Was ist, wenn das Zertifikat gültig ist, aber ein Intermediate-CA fehlt?
Fehlende Zwischenzertifikate verursachen bei vielen TLS-Clients (curl, ältere Android-Geräte) den Fehler "chain incomplete", auch wenn Desktop-Browser die Kette manchmal automatisch ergänzen. Unser SSL-Check verlangt eine vollständige, gültige Chain – fehlt ein Intermediate, scheitert der Check und zeigt das Problem, bevor Mobile-Nutzer betroffen sind.
Kann ich SSL auf benutzerdefinierten Ports überwachen (z. B. 8443, Mailserver)?
Ja — gib die Monitor-URL mit dem Port an (z. B. https://api.example.com:8443/). Der Monitor verbindet sich auf diesem Port für den TLS-Handshake und liest das Zertifikat aus. Das funktioniert ebenso für SMTP STARTTLS, IMAP/POP3 TLS und andere Protokolle, die TLS auf Custom-Ports einsetzen.
Verbraucht das SSL-Monitoring zusätzliche Credits?
Nein. TLS-Handshake und Zertifikatsprüfung sind Teil jedes HTTPS-Checks – ohne Extra-Kosten. Auch die fünffachen Ablauf-Alerts sind kostenlos. WHOIS-Lookups für Domainablauf sind die einzige Zusatzfunktion, die nach eigenem täglichen Rhythmus läuft.

SSL-Zertifikat-Überwachung