Kui suure etteteatamisega peaksin ma SSL-i aegumisest hoiatuse saama?

Tavalised hoiatuste läved on 30, 14, 7, 3 ja 1 päev enne sertifikaadi aegumist. Kolmkümmend päeva jätab aega tööajal planeerimiseks; lühemad teavitused tõstavad kiireloomulisust. Kui loodad automaatsele uuendamisele (Let's Encrypt koos certbot), siis 7-päevane hoiatus on aeg kontrollida, kas uuendamine tegelikult toimus – vaiksed nurjumised on sagedased ja neid märkab vaid sõltumatu monitooring.

Kas SSL-monitooring tuvastab ahela või hostname'i mittevastavuse probleemid?

Jah. Monitor sooritab tõelise TLS handshake'i ja kontrollib pakutavat sertifikaati. Kui sertifikaat on aegunud, iseallkirjastatud, CN/SAN ei ühti hostname'iga või on allkirjastanud tundmatu CA, siis kontroll kukub läbi konkreetse veateatega. See tuvastab probleeme nagu "tehniliselt kehtiv, aga valesti paigaldatud sertifikaat", mida brauserid samuti märgivad.

Mis saab, kui sertifikaat on kehtiv, kuid vahepealne CA puudub?

Puuduvad vahe-CA sertifikaadid põhjustavad "chain incomplete" vea paljudes TLS klientides (curl, vanemad Android seadmed), isegi kui desktopi brauserid suudavad ahelat automaatselt alla laadida. Meie SSL-kontroll eeldab täielikku, kehtivat ahelat – kui vahe-CA puudub, kukub kontroll läbi ning probleem saab nähtavaks enne, kui seda märkavad mobiilikasutajad.

Kas ma saan monitoorida SSL-i kohandatud portidel (nt 8443, meiliservers)?

Jah – määra monitori URL-ile port (nt https://api.example.com:8443/). Monitor ühendub TLS handshake'iks selle porti kaudu ja loeb sertifikaadi. Sama töötab ka SMTP STARTTLS, IMAP/POP3 TLS ja muude protokollide puhul, mis kasutavad TLS-i oma portidel.

Kas SSL-monitooring kasutab lisakrediite?

Ei. TLS handshake ja sertifikaadi kontroll käib iga HTTPS-kontrolli osana – ilma lisakuludeta. 5-lävelised aegumise teavitused on samuti tasuta. WHOIS päringud domeeni aegumisele on ainus abifunktsioon, mis töötab eraldi igapäevase ajakavaga.

SSL-sertifikaadi jälgimine — hoiatused 30/14/7/3/1 päeva enne aegumist

Aegunud SSL-sertifikaat katkestab igas brauseris ühenduse täpselt südaööl. Tuvasta need vähemalt 30 päeva ette.

Aegunud SSL-sertifikaadi kulu

SSL-sertifikaat, mis aegub kell 23:59:59, ei muutu aeglaselt kehtetuks. Kell 00:00:00 järgmisel päeval hakkab iga brauser kuvama täisekraanil turvahoiatust, iga API-klient ebaõnnestub TLS handshake'il, iga webhooki integraator tagastab vea, iga otsingumootor alandab su positsioone, iga e-kiri põrkab tagasi, kui sertifikaat kattis ka SMTP. Parandus on kiire – uuesti väljastamine, uuesti paigaldamine – kuid aken aegumise ja lahenduse vahel on julm, sest keegi ei märka sertifikaati enne südaööd, ainult pärast seda.

SSL-monitooring eksisteerib selleks, et märkaksid siiski varem kui südaööl. Monitor loeb sertifikaadi elavalt hostilt, parsib kehtivusaja ja hoiatab suure etteajaga – 30 päeva, 14 päeva, 7 päeva, 3 päeva, 1 päev – nii et uuendamine ei tule kunagi üllatusena.

Mida monitooritakse

Iga monitooritava HTTPS-lehe jaoks avab DiagnoSEO Uptime Monitoring TLS-ühenduse, võtab peeri sertifikaadi ja parsib selle. Dashboard salvestab sellest:

Kehtivus: kas sertifikaat on praegu oma kehtivusperioodis?
Päevi aegumiseni: jooksvalt loetav väärtus, kuvatakse värvilise märgisena (roheline >30 päeva, oranž 8-30, punane <8).
Aegumiskuupäev: täpne kuupäev.
Väljastaja: kes allkirjastas sertifikaadi (Let's Encrypt, DigiCert, GlobalSign jm.)
Subject: common name sertifikaadil.

Kui sertifikaat muutub kehtetuks – aegunud, vale hostname, katkenud ahel, ise-allkirjastatud kui ei tohiks olla – annab monitor SSL invalid'i aru, sõltumata HTTP olekust. Oleku "katki HTTPS, aga server töötab" muutub kohe nähtavaks.

Hoiatuste läved

Tööriist saadab SSL-hoiatusi viiel lävel: 30, 14, 7, 3 ja 1 päev enne aegumist. Igaüks on eraldi teavitus. Kui sul on e-post ja Telegram sisse lülitatud, saad viis meeldetuletust, kui aegumine läheneb – järjest kiiremini. Esimene (30 päeva) on planeerimiseks. 14-päevane juba "ei, tõesti, tee see sel nädalal". 7-, 3- ja 1-päevased on juhuks, kui uuendamine pole toimunud ja keegi peab kiiresti reageerima.

Neid saab kanalite kaupa välja lülitada – mõned tiimid tahavad SSL-hoiatusi ainult e-posti teel, mitte Slacki/Telegrami (kus need võivad müra sisse kaduda). Sea see Notifikatsioonides.

Miks automaatne uuendamine alati ei piisa

Kui kasutad Let's Encrypti koos certbotiga või millegi sarnasega, võid arvata, et SSL-monitooring on üleliigne. Ei ole. Automaatne uuendamine võib ebaõnnestuda mitmel moel: certboti konto e-posti aadress muutub kehtetuks, ACME väljakutsed ei tööta tulemüüri reeglite muudatuse tõttu, uuenduse cron katkeb, konteineri taaskäivitus kustutab uuenduse seisu, domeeni valideerimine kukub läbi DNS muutuse pärast. Kõigil neil juhtudel liigub sertifikaat aegumise poole ja automaatne uuendamine ei aita sind. SSL-monitooring on turvavõrk, mis püüab selle, mis automatiseerimisel kahe silma vahele jääb.

Sisemiste sertifikaatide puhul (ettevõtte CA, mutual TLS) pole tavaliselt üldse automaatset uuendamist – SSL-monitooring on ainus proaktiivne signaal, et uuendus on vajalik.

Seadistamine

SSL-monitooring on automaatne iga HTTPS monitori jaoks DiagnoSEO Uptime Monitoris. Seda ei pea eraldi sisse lülitama. Järgmisel korral, kui toimub sügavam kontroll (24h jooksul monitori lisamisest või kohe pärast "Kontrolli kohe" klikki), täitub SSL-sektsioon väljastaja, aegumiskuupäeva ja järelejäänud päevadega. Sellest hetkest alates valvab monitor sertifikaati ning annab häiret 30/14/7/3/1 päeva eel.

Muude monitoride puhul kui HTTPS SSL-i ei kontrollita. Kohandatud SSL-pordiga monitoride korral proovib tööriist sobivat porti (vaikimisi 443; 465 SMTPS jaoks, 993 IMAPS jaoks jne., sõltuvalt monitori tüübist).

Korduma kippuvad küsimused

Kui suure etteteatamisega peaksin ma SSL-i aegumisest hoiatuse saama?
Tavalised hoiatuste läved on 30, 14, 7, 3 ja 1 päev enne sertifikaadi aegumist. Kolmkümmend päeva jätab aega tööajal planeerimiseks; lühemad teavitused tõstavad kiireloomulisust. Kui loodad automaatsele uuendamisele (Let's Encrypt koos certbot), siis 7-päevane hoiatus on aeg kontrollida, kas uuendamine tegelikult toimus – vaiksed nurjumised on sagedased ja neid märkab vaid sõltumatu monitooring.
Kas SSL-monitooring tuvastab ahela või hostname'i mittevastavuse probleemid?
Jah. Monitor sooritab tõelise TLS handshake'i ja kontrollib pakutavat sertifikaati. Kui sertifikaat on aegunud, iseallkirjastatud, CN/SAN ei ühti hostname'iga või on allkirjastanud tundmatu CA, siis kontroll kukub läbi konkreetse veateatega. See tuvastab probleeme nagu "tehniliselt kehtiv, aga valesti paigaldatud sertifikaat", mida brauserid samuti märgivad.
Mis saab, kui sertifikaat on kehtiv, kuid vahepealne CA puudub?
Puuduvad vahe-CA sertifikaadid põhjustavad "chain incomplete" vea paljudes TLS klientides (curl, vanemad Android seadmed), isegi kui desktopi brauserid suudavad ahelat automaatselt alla laadida. Meie SSL-kontroll eeldab täielikku, kehtivat ahelat – kui vahe-CA puudub, kukub kontroll läbi ning probleem saab nähtavaks enne, kui seda märkavad mobiilikasutajad.
Kas ma saan monitoorida SSL-i kohandatud portidel (nt 8443, meiliservers)?
Jah – määra monitori URL-ile port (nt https://api.example.com:8443/). Monitor ühendub TLS handshake'iks selle porti kaudu ja loeb sertifikaadi. Sama töötab ka SMTP STARTTLS, IMAP/POP3 TLS ja muude protokollide puhul, mis kasutavad TLS-i oma portidel.
Kas SSL-monitooring kasutab lisakrediite?
Ei. TLS handshake ja sertifikaadi kontroll käib iga HTTPS-kontrolli osana – ilma lisakuludeta. 5-lävelised aegumise teavitused on samuti tasuta. WHOIS päringud domeeni aegumisele on ainus abifunktsioon, mis töötab eraldi igapäevase ajakavaga.

SSL-sertifikaadi jälgimine