Με πόση προειδοποίηση πρέπει να ειδοποιούμαι πριν τη λήξη SSL;

Τα τυπικά όρια ειδοποίησης είναι 30, 14, 7, 3 και 1 μέρα πριν τη λήξη. Οι τριάντα μέρες παρέχουν χρόνο για να προγραμματίσεις την ανανέωση εντός εργασιακών ωρών· τα μικρότερα alerts αυξάνουν την αίσθηση επείγοντος. Αν βασίζεσαι σε auto-renewal (Let's Encrypt με certbot), η ειδοποίηση στις 7 μέρες είναι η στιγμή να βεβαιωθείς ότι η ανανέωση όντως έγινε — ήσυχες αποτυχίες ανανέωσης είναι συχνές και μόνο η ανεξάρτητη παρακολούθηση τις αντιλαμβάνεται.

Θα εντοπίσει το monitoring SSL προβλήματα αλυσίδας ή hostname;

Ναι. Ο παρακολουθητής εκτελεί κανονικό TLS handshake και ελέγχει το εξυπηρετούμενο πιστοποιητικό. Αν το πιστοποιητικό έχει λήξει, είναι self-signed, έχει λάθος CN/SAN ως προς το hostname ή έχει εκδοθεί από άγνωστη CA, ο έλεγχος αποτυγχάνει με συγκεκριμένο σφάλμα. Ανιχνεύει έτσι προβλήματα τύπου "το πιστοποιητικό είναι τεχνικά έγκυρο αλλά εσφαλμένα εγκατεστημένο" τα οποία επισημαίνουν και οι browsers.

Τι γίνεται αν το πιστοποιητικό είναι έγκυρο αλλά λείπει ενδιάμεση CA;

Τα ελλείποντα ενδιάμεσα πιστοποιητικά προκαλούν σφάλμα "chain incomplete" σε πολλούς TLS clients (curl, παλαιότερες συσκευές Android) ακόμα κι αν desktop browsers μπορούν αυτόματα να ανακτήσουν την αλυσίδα. Ο έλεγχος SSL απαιτεί πλήρη, έγκυρη αλυσίδα — αν λείπει ενδιάμεσο, ο έλεγχος αποτυγχάνει, επισημαίνοντας το πρόβλημα πριν το αντιληφθούν οι mobile χρήστες.

Μπορώ να ελέγξω SSL σε custom ports (π.χ. 8443, mail servers);

Ναι — ρύθμισε το URL του monitor με τη θύρα (π.χ. https://api.example.com:8443/). Ο παρακολουθητής συνδέεται στην αντίστοιχη θύρα για TLS handshake και διαβάζει το πιστοποιητικό. Το ίδιο ισχύει για SMTP STARTTLS, IMAP/POP3 TLS και άλλα πρωτόκολλα που τυλίγουν TLS σε custom ports.

Χρησιμοποιεί το monitoring SSL επιπλέον credits;

Όχι. Το TLS handshake και ο έλεγχος πιστοποιητικού γίνεται ως μέρος κάθε HTTPS check — χωρίς έξτρα χρέωση. Οι ειδοποιήσεις λήξης στα 5 όρια είναι επίσης δωρεάν. Τα WHOIS lookups για τη λήξη domain είναι η μοναδική βοηθητική λειτουργία που εκτελείται σε ξεχωριστό ημερήσιο χρονοδιάγραμμα.

Παρακολούθηση πιστοποιητικών SSL — ειδοποιήσεις σε 30/14/7/3/1 ημέρες

Ένα ληγμένο πιστοποιητικό SSL διακόπτει τη λειτουργία κάθε προγράμματος περιήγησης στον κόσμο ακριβώς τα μεσάνυχτα. Εντοπίστε τα με πάνω από 30 ημέρες περιθώριο.

Κόστος χαμένης ανανέωσης SSL

Ένα πιστοποιητικό SSL που λήγει στις 23:59:59 δεν υποβαθμίζεται σταδιακά. Στις 00:00:00 της επόμενης ημέρας κάθε browser αρχίζει να εμφανίζει προειδοποίηση ασφαλείας σε πλήρη οθόνη, κάθε πελάτης API αποτυγχάνει στο TLS handshake, κάθε integrator webhook επιστρέφει σφάλμα, κάθε μηχανή αναζήτησης υποβαθμίζει τις θέσεις σου, κάθε email αποτυγχάνει να σταλεί αν το πιστοποιητικό κάλυπτε και το SMTP. Η επίλυση είναι γρήγορη - επανέκδοση, επαναδημοσίευση - αλλά το διάστημα ανάμεσα στη λήξη και τη λύση είναι οδυνηρό, γιατί κανείς δεν παρατηρεί το πιστοποιητικό πριν τα μεσάνυχτα, μόνο μετά.

Η παρακολούθηση SSL υπάρχει για να το παρατηρείς πριν τα μεσάνυχτα. Ο παρακολουθητής διαβάζει το πιστοποιητικό από τον ζωντανό server, αναλύει τη διάρκεια ισχύος του και ειδοποιεί από νωρίς - 30 μέρες, 14 μέρες, 7 μέρες, 3 μέρες, 1 μέρα - ώστε η ανανέωση να μη γίνει ποτέ έκπληξη.

Τι παρακολουθείται

Για κάθε HTTPS ιστότοπο που παρακολουθείται, το DiagnoSEO Uptime Monitoring ανοίγει σύνδεση TLS, λαμβάνει το πιστοποιητικό του peer και το αναλύει. Από εκεί το dashboard αποθηκεύει:

Ισχύς: το πιστοποιητικό είναι αυτή τη στιγμή εντός της περιόδου ισχύος του;
Μέρες μέχρι τη λήξη: κυλιόμενη μέτρηση, εμφανίζεται ως έγχρωμη σφραγίδα (πράσινο >30 μέρες, πορτοκαλί 8-30, κόκκινο <8).
Ημερομηνία λήξης: ακριβής ημερομηνία.
Εκδότης: ποιος υπέγραψε το πιστοποιητικό (Let's Encrypt, DigiCert, GlobalSign κτλ.)
Subject: το common name του πιστοποιητικού.

Εάν το πιστοποιητικό γίνει άκυρο - λήγει, λάθος hostname, σπασμένη αλυσίδα, self-signed ενώ δεν πρέπει - ο παρακολουθητής αναφέρει SSL invalid ανεξάρτητα από το HTTP status. Η κατάσταση "χαλασμένο HTTPS, αλλά ο server λειτουργεί" γίνεται άμεσα εμφανής.

Όρια ειδοποιήσεων

Το εργαλείο εκκινεί ειδοποιήσεις SSL σε πέντε όρια: 30, 14, 7, 3 και 1 ημέρα πριν τη λήξη. Η κάθε μία είναι ξεχωριστή ειδοποίηση. Εάν έχεις ενεργά email και Telegram, θα λάβεις πέντε υπενθυμίσεις όσο πλησιάζει η λήξη - κάθε φορά και πιο επείγουσα. Η πρώτη (30 μέρες) είναι για προγραμματισμό. Η 14ήμερη για το "όχι, στα αλήθεια, κάντο αυτή την εβδομάδα". Οι ειδοποιήσεις των 7, 3 και 1 ημερών υπάρχουν για την περίπτωση που δεν έχει γίνει ακόμα η ανανέωση και κάποιος πρέπει να ενεργοποιηθεί αμέσως.

Μπορούν να απενεργοποιηθούν ανά κανάλι - κάποιες ομάδες θέλουν μόνο email ειδοποιήσεις SSL, όχι Slack/Telegram (όπου μπορεί να χαθούν στον θόρυβο). Αυτό ρυθμίζεται στις Ειδοποιήσεις.

Γιατί η αυτόματη ανανέωση δεν αρκεί

Εάν χρησιμοποιείς Let's Encrypt με certbot ή παρόμοιο, ίσως νομίζεις ότι η παρακολούθηση SSL είναι περιττή. Δεν είναι. Η αυτόματη ανανέωση μπορεί να αποτύχει ποικιλοτρόπως: το email στο certbot γίνεται μη έγκυρο, οι ACME challenges αποτυγχάνουν από αλλαγή firewall κανόνα, το cron για ανανέωση σταματά να δουλεύει, ένα restart κοντέινερ διαγράφει την κατάσταση ανανέωσης, η επικύρωση domain αποτυγχάνει από αλλαγή DNS. Σε όλες αυτές τις περιπτώσεις το πιστοποιητικό πλησιάζει λήξη και η αυτόματη ανανέωση δεν θα σε σώσει. Η παρακολούθηση SSL είναι το δίχτυ ασφαλείας που πιάνει ό,τι έχασε η αυτοματοποίηση.

Για εσωτερικά certs (εταιρικό CA, mutual TLS) συνήθως δεν υπάρχει καθόλου auto-renewal - η παρακολούθηση SSL είναι το μόνο προληπτικό σήμα ότι απαιτείται ανανέωση.

Ρύθμιση

Η παρακολούθηση SSL είναι αυτόματη για κάθε HTTPS monitor στο DiagnoSEO Uptime Monitoring. Δεν χρειάζεται να ενεργοποιηθεί ξεχωριστά. Την επόμενη φορά που γίνεται βαθύτερο check (εντός 24 ωρών από την προσθήκη monitor ή αμέσως μετά το "Έλεγχος τώρα"), η SSL ενότητα του row συμπληρώνεται με εκδότη, ημερομηνία λήξης και υπολειπόμενες ημέρες. Από εκείνη τη στιγμή το monitor παρακολουθεί το πιστοποιητικό και ειδοποιεί στα όρια 30/14/7/3/1 μέρα.

Για monitors εκτός HTTPS, το SSL παραλείπεται. Για monitors με custom SSL port, το εργαλείο δοκιμάζει κατάλληλη θύρα (443 το default· 465 για SMTPS, 993 για IMAPS κτλ. ανάλογα τον τύπο monitor).

Συχνές ερωτήσεις

Με πόση προειδοποίηση πρέπει να ειδοποιούμαι πριν τη λήξη SSL;
Τα τυπικά όρια ειδοποίησης είναι 30, 14, 7, 3 και 1 μέρα πριν τη λήξη. Οι τριάντα μέρες παρέχουν χρόνο για να προγραμματίσεις την ανανέωση εντός εργασιακών ωρών· τα μικρότερα alerts αυξάνουν την αίσθηση επείγοντος. Αν βασίζεσαι σε auto-renewal (Let's Encrypt με certbot), η ειδοποίηση στις 7 μέρες είναι η στιγμή να βεβαιωθείς ότι η ανανέωση όντως έγινε — ήσυχες αποτυχίες ανανέωσης είναι συχνές και μόνο η ανεξάρτητη παρακολούθηση τις αντιλαμβάνεται.
Θα εντοπίσει το monitoring SSL προβλήματα αλυσίδας ή hostname;
Ναι. Ο παρακολουθητής εκτελεί κανονικό TLS handshake και ελέγχει το εξυπηρετούμενο πιστοποιητικό. Αν το πιστοποιητικό έχει λήξει, είναι self-signed, έχει λάθος CN/SAN ως προς το hostname ή έχει εκδοθεί από άγνωστη CA, ο έλεγχος αποτυγχάνει με συγκεκριμένο σφάλμα. Ανιχνεύει έτσι προβλήματα τύπου "το πιστοποιητικό είναι τεχνικά έγκυρο αλλά εσφαλμένα εγκατεστημένο" τα οποία επισημαίνουν και οι browsers.
Τι γίνεται αν το πιστοποιητικό είναι έγκυρο αλλά λείπει ενδιάμεση CA;
Τα ελλείποντα ενδιάμεσα πιστοποιητικά προκαλούν σφάλμα "chain incomplete" σε πολλούς TLS clients (curl, παλαιότερες συσκευές Android) ακόμα κι αν desktop browsers μπορούν αυτόματα να ανακτήσουν την αλυσίδα. Ο έλεγχος SSL απαιτεί πλήρη, έγκυρη αλυσίδα — αν λείπει ενδιάμεσο, ο έλεγχος αποτυγχάνει, επισημαίνοντας το πρόβλημα πριν το αντιληφθούν οι mobile χρήστες.
Μπορώ να ελέγξω SSL σε custom ports (π.χ. 8443, mail servers);
Ναι — ρύθμισε το URL του monitor με τη θύρα (π.χ. https://api.example.com:8443/). Ο παρακολουθητής συνδέεται στην αντίστοιχη θύρα για TLS handshake και διαβάζει το πιστοποιητικό. Το ίδιο ισχύει για SMTP STARTTLS, IMAP/POP3 TLS και άλλα πρωτόκολλα που τυλίγουν TLS σε custom ports.
Χρησιμοποιεί το monitoring SSL επιπλέον credits;
Όχι. Το TLS handshake και ο έλεγχος πιστοποιητικού γίνεται ως μέρος κάθε HTTPS check — χωρίς έξτρα χρέωση. Οι ειδοποιήσεις λήξης στα 5 όρια είναι επίσης δωρεάν. Τα WHOIS lookups για τη λήξη domain είναι η μοναδική βοηθητική λειτουργία που εκτελείται σε ξεχωριστό ημερήσιο χρονοδιάγραμμα.

Παρακολούθηση πιστοποιητικών SSL