¿Con cuánta antelación debería ser avisado de la caducidad del SSL?

Los umbrales estándar de alerta son 30, 14, 7, 3 y 1 día antes de la caducidad. Treinta días te permiten planificar la renovación en horario laboral; los avisos más cortos aumentan la urgencia. Si dependes de la renovación automática (Let's Encrypt con certbot), la alerta de 7 días es el momento de comprobar que la renovación realmente se ha realizado: los fallos silenciosos en renovaciones son comunes y solo los detecta un monitoreo independiente.

¿Detecta el monitoreo SSL problemas de cadena o de discordancia en el nombre de host?

Sí. El monitor realiza un verdadero handshake TLS y revisa el certificado que sirve el servidor. Si el certificado está caducado, es self-signed, hay discordancia entre CN/SAN y el nombre de host, o está firmado por una CA desconocida, la comprobación falla con un error específico. Esto detecta problemas del tipo "el certificado es técnicamente válido pero está mal instalado" que los navegadores también marcan.

¿Qué pasa si el certificado es válido pero falta la CA intermedia?

La ausencia de certificados intermedios provoca el error "chain incomplete" en muchos clientes TLS (curl, dispositivos Android antiguos) incluso si navegadores de escritorio pueden recuperarlos automáticamente descargando la cadena. Nuestra comprobación SSL requiere una cadena completa y válida; si falta la intermedia, la comprobación falla, mostrando el problema antes de que lo noten los usuarios móviles.

¿Puedo monitorizar SSL en puertos personalizados (por ej. 8443, servidores de correo)?

Sí — configura la URL del monitor con el puerto (por ejemplo, https://api.example.com:8443/). El monitor se conecta a ese puerto para el handshake TLS y lee el certificado. Lo mismo funciona para SMTP STARTTLS, IMAP/POP3 TLS y otros protocolos que envuelven TLS en puertos personalizados.

¿El monitoreo SSL consume créditos adicionales?

No. El handshake TLS y la comprobación del certificado se realiza como parte de cada verificación HTTPS, sin coste adicional. Las alertas de caducidad en los 5 umbrales también son gratuitas. Las búsquedas WHOIS para caducidad de dominios son la única función auxiliar que se ejecuta con una programación diaria aparte.

Monitoreo de certificados SSL — Alertas 30/14/7/3/1 días

Un certificado SSL vencido bloquea todos los navegadores en el mundo exactamente a la medianoche. Anticípese con más de 30 días de margen.

El coste de perder la renovación del SSL

Un certificado SSL que caduca a las 23:59:59 no se degrada suavemente. A las 00:00:00 del día siguiente, cada navegador empieza a mostrar una advertencia de seguridad a pantalla completa, cada cliente API falla en el handshake TLS, cada integrador de webhooks devuelve un error, cada buscador degrada tu posición, cada correo rebota si el certificado también cubría SMTP. La reparación es rápida: reemisión, redeploy, pero la ventana entre la caducidad y la solución es brutal, porque nadie se da cuenta del certificado antes de medianoche, solo después.

El monitoreo SSL existe para que lo notes antes de la medianoche. El monitor lee el certificado del host activo, analiza el periodo de validez y te avisa con suficiente antelación: 30 días, 14 días, 7 días, 3 días, 1 día, así que la renovación nunca será una sorpresa.

Qué se monitoriza

Para cada página HTTPS monitorizada, DiagnoSEO Uptime Monitoring abre una conexión TLS, captura el certificado del peer y lo analiza. En el panel de control se guarda:

Validez: ¿el certificado está actualmente dentro de su periodo de validez?
Días hasta el vencimiento: cuenta regresiva, mostrada como una insignia de color (verde >30 días, naranja 8-30, roja <8).
Fecha de vencimiento: la fecha exacta.
Emisor: quién firmó el certificado (Let's Encrypt, DigiCert, GlobalSign, etc.)
Subject: nombre común (common name) en el certificado.

Si el certificado se vuelve inválido - caducado, nombre de host incorrecto, cadena rota, self-signed cuando no debería - el monitor reporta SSL inválido independientemente del estado HTTP. El estado "HTTPS roto, pero el servidor funciona" se vuelve visible de inmediato.

Umbrales de alerta

La herramienta lanza alertas SSL en cinco umbrales: 30, 14, 7, 3 y 1 día antes de la caducidad. Cada uno es una alerta separada. Si tienes activados el email y Telegram, recibirás cinco recordatorios según se acerca la fecha de caducidad, cada vez más urgentes. El primero (30 días) es para planificar. El de 14 días indica "en serio, hazlo esta semana". Las alertas de 7, 3 y 1 día existen por si la renovación no se realiza y alguien debe ser avisado de inmediato.

Se pueden desactivar por canal: algunos equipos solo quieren alertas SSL por email, no por Slack/Telegram (donde se pueden perder entre otros mensajes). Configura esto en Notificaciones.

Por qué la renovación automática no es suficiente

Si utilizas Let's Encrypt con certbot u otro similar, puedes pensar que el monitoreo SSL es innecesario. No lo es. La auto-renovación puede fallar de muchas formas: el email de la cuenta de certbot se vuelve incorrecto, los ACME challenges fallan por cambios en el firewall, el cron de renovación deja de funcionar, el reinicio del contenedor borra el estado de renovación, la validación del dominio falla por cambios en el DNS. En cualquiera de estos casos, el certificado acabará caducando y la renovación automática no te salvará. El monitoreo SSL es la red de seguridad que intercepta lo que la automatización ha pasado por alto.

Para los certificados internos (CA de empresa, mutual TLS), normalmente no hay renovación automática en absoluto: el monitoreo SSL es la única señal proactiva de que se necesita una renovación.

Configuración

El monitoreo SSL es automático para cada monitor HTTPS en DiagnoSEO Uptime Monitoring. No es necesario activarlo por separado. La próxima vez que se realice una comprobación más profunda (en 24 h desde añadir el monitor o inmediatamente al pulsar "Comprobar ahora"), la sección SSL de la fila se llenará con el emisor, la fecha de vencimiento y los días restantes. Desde ese momento, el monitor vigila el certificado y lanza alertas en los umbrales de 30/14/7/3/1 días.

Para monitores que no sean HTTPS, SSL se omite. Para monitores con puertos SSL personalizados, la herramienta intentará usar el puerto correcto (443 por defecto, 465 para SMTPS, 993 para IMAPS, etc. según el tipo de monitor).

Preguntas frecuentes

¿Con cuánta antelación debería ser avisado de la caducidad del SSL?
Los umbrales estándar de alerta son 30, 14, 7, 3 y 1 día antes de la caducidad. Treinta días te permiten planificar la renovación en horario laboral; los avisos más cortos aumentan la urgencia. Si dependes de la renovación automática (Let's Encrypt con certbot), la alerta de 7 días es el momento de comprobar que la renovación realmente se ha realizado: los fallos silenciosos en renovaciones son comunes y solo los detecta un monitoreo independiente.
¿Detecta el monitoreo SSL problemas de cadena o de discordancia en el nombre de host?
Sí. El monitor realiza un verdadero handshake TLS y revisa el certificado que sirve el servidor. Si el certificado está caducado, es self-signed, hay discordancia entre CN/SAN y el nombre de host, o está firmado por una CA desconocida, la comprobación falla con un error específico. Esto detecta problemas del tipo "el certificado es técnicamente válido pero está mal instalado" que los navegadores también marcan.
¿Qué pasa si el certificado es válido pero falta la CA intermedia?
La ausencia de certificados intermedios provoca el error "chain incomplete" en muchos clientes TLS (curl, dispositivos Android antiguos) incluso si navegadores de escritorio pueden recuperarlos automáticamente descargando la cadena. Nuestra comprobación SSL requiere una cadena completa y válida; si falta la intermedia, la comprobación falla, mostrando el problema antes de que lo noten los usuarios móviles.
¿Puedo monitorizar SSL en puertos personalizados (por ej. 8443, servidores de correo)?
Sí — configura la URL del monitor con el puerto (por ejemplo, https://api.example.com:8443/). El monitor se conecta a ese puerto para el handshake TLS y lee el certificado. Lo mismo funciona para SMTP STARTTLS, IMAP/POP3 TLS y otros protocolos que envuelven TLS en puertos personalizados.
¿El monitoreo SSL consume créditos adicionales?
No. El handshake TLS y la comprobación del certificado se realiza como parte de cada verificación HTTPS, sin coste adicional. Las alertas de caducidad en los 5 umbrales también son gratuitas. Las búsquedas WHOIS para caducidad de dominios son la única función auxiliar que se ejecuta con una programación diaria aparte.

Monitoreo de certificados SSL