Kuinka paljon etukäteen minun pitäisi saada varoitus SSL-varmenteen vanhentumisesta?

Vakiokynnykset varoituksille ovat 30, 14, 7, 3 ja 1 päivää ennen vanhentumista. Kolmekymmentä päivää antaa aikaa suunnitella uusimista työaikana; lyhyemmät hälytykset lisäävät kiireellisyyttä. Jos luotat automaattiseen uusimiseen (Let's Encrypt + certbot), 7 päivän hälytys on hetki tarkistaa onko uusinta todella onnistunut — hiljaiset epäonnistumiset ovat yleisiä ja vain riippumaton valvonta huomaa ne.

Tunnistaako SSL-valvonta ketjuvirheet tai hostname-ristiriidat?

Kyllä. Monitori tekee oikean TLS handshake:n ja tarkistaa palvelimen varmenteen. Jos varmenne on vanhentunut, itse allekirjoitettu, CN/SAN ei täsmää hostnameen tai CA ei ole tunnettu, tarkistus epäonnistuu erityisellä virheellä. Tämä havaitsee ongelmat kuten "varmenne on teknisesti voimassa mutta asennettu väärin", jotka myös selaimet liputtavat.

Mitä jos varmenne on voimassa, mutta välittävä CA puuttuu?

Puutteelliset väliketjut aiheuttavat "chain incomplete" -virheen monille TLS-asiakkaille (curl, vanhat Android-laitteet), vaikka työpöytäselaimet osaavat hakea ketjun automaattisesti. SSL-tarkistuksemme vaatii täydellisen, kelvollisen ketjun — jos väliketju puuttuu, tarkistus epäonnistuu ja näyttää ongelman ennen kuin mobiilikäyttäjät huomaavat sen.

Voinko valvoa SSL:ää mukautetuilla porteilla (esim. 8443, sähköpostipalvelimet)?

Kyllä — määritä monitorin URL portilla (esim. https://api.example.com:8443/). Monitori yhdistää sille portille TLS handshakea varten ja lukee varmenteen. Sama toimii SMTP STARTTLS:lle, IMAP/POP3 TLS:lle ja muille protokollille, jotka käyttävät TLS:ää mukautetuilla porteilla.

Käyttääkö SSL-valvonta lisäkrediittejä?

Ei. TLS handshake ja varmenteen tarkistus tapahtuvat jokaisen HTTPS-tarkistuksen yhteydessä – ilman lisäkustannusta. Vanhentumisvaroitukset viidellä kynnyksellä ovat myös ilmaisia. WHOIS-haku domainin vanhentumiselle on ainoa lisätoiminto, joka toimii erillisenä päivittäisenä ajoituksena.

SSL-varmenteen valvonta — hälytykset 30/14/7/3/1 pv

Vanhentunut SSL-varmenne rikkoo jokaisen selaimen täsmälleen keskiyöllä. Havaitse ne yli 30 päivää etukäteen.

SSL:n uusimisen laiminlyönnin kustannukset

SSL-varmenne, joka vanhenee klo 23.59.59, ei vanhene vähitellen. Klo 00.00.00 seuraavana päivänä jokainen selain alkaa näyttää koko näytön tietoturvavaroituksen, jokainen API-asiakas epäonnistuu TLS handshake:ssa, jokainen webhook-integraattori palauttaa virheen, jokainen hakukone huonontaa sijoituksiasi, jokainen sähköposti pomppaa takaisin, jos varmenne kattoi myös SMTP:n. Korjaus on nopea – uudelleenmyöntö, uudelleenjulkaisu – mutta aikaikkuna vanhentumisen ja korjauksen välillä on armoton, sillä varmenne huomataan vasta puolen yön jälkeen, ei koskaan ennen sitä.

SSL-valvonta on olemassa, jotta huomaisit ongelmat ennen puoltayötä. Valvonta lukee varmenteen elävältä isännältä, jäsentää voimassaoloajan ja varoittaa hyvissä ajoin – 30 päivää, 14 päivää, 7 päivää, 3 päivää, 1 päivä – jolloin uusiminen ei koskaan tule yllätyksenä.

Mitä valvotaan

Jokaista valvottua HTTPS-sivua varten DiagnoSEO Uptime Monitoring avaa TLS-yhteyden, nappaa peer-varmenteen ja jäsentää sen. Dashboard tallentaa tästä:

Voimassaolo: onko varmenne tällä hetkellä voimassaolojaksonsa sisällä?
Päiviä vanhenemiseen: rullaava laskuri, näytetään värillisenä merkkinä (vihreä >30 päivää, oranssi 8–30, punainen <8).
Vanhentumispäivä: tarkka päivämäärä.
Myöntäjä: kuka on allekirjoittanut varmenteen (Let's Encrypt, DigiCert, GlobalSign jne.)
Subject: varmenteen yleisnimi (common name).

Jos varmenne muuttuu epäkelvoksi – vanhentunut, väärä isäntä, rikkinäinen ketju, itse allekirjoitettu kun ei pitäisi – monitori raportoi SSL-epäkelpoisuuden HTTP-tilasta riippumatta. Tila "rikkoutunut HTTPS, mutta palvelin toimii" näkyy heti.

Hälytyskynnykset

Työkalu laukaisee SSL-varoitukset viidellä kynnyksellä: 30, 14, 7, 3 ja 1 päivä ennen vanhentumista. Jokainen on erillinen hälytys. Jos sähköposti ja Telegram ovat käytössä, saat viisi muistutusta vanhentumisen lähestyessä – yhä kiireellisempiä. Ensimmäinen (30 päivää) on suunnittelua varten. 14 päivän varoitus tarkoittaa "ei, oikeasti, tee se tällä viikolla". 7, 3 ja 1 päivän varoitukset on olemassa siltä varalta, että uusiminen unohtui ja joku pitää hälyttää heti.

Ne voi kytkeä pois kanavakohtaisesti – jotkut tiimit haluavat SSL-hälytyksiä vain sähköpostiin, eivät Slackiin/Telegramiin (jossa ne saattavat hukkua meluun). Määrittele tämä Ilmoituksissa.

Miksi automaattinen uusiminen ei riitä

Jos käytät Let's Encryptiä certbotilla tai vastaavalla, saatat ajatella ettei SSL-valvonnasta ole hyötyä. Näin ei ole. Automaattinen uusiminen voi epäonnistua monella tapaa: certbotin tilin sähköposti vanhenee, ACME-haasteet epäonnistuvat palomuurisäännön muutoksen takia, cron ei toimi, konttien uudelleenkäynnistys tyhjentää tilan, domainin validointi epäonnistuu DNS-muutoksessa. Kaikissa näissä tapauksissa varmenne on vanhenemassa, eikä automaattinen uusiminen pelasta sinua. SSL-valvonta on turvaverkko, joka nappaa sen minkä automaatiot missasivat.

Sisäisillä varmenteilla (yrityksen CA, mutual TLS) automaattista uusimista ei yleensä ole lainkaan – SSL-valvonta on ainoa proaktiivinen signaali, että uusiminen tarvitaan.

Konfigurointi

SSL-valvonta toimii automaattisesti kaikille HTTPS-monitoreille DiagnoSEO Uptime Monitoringissa. Sitä ei tarvitse erikseen ottaa käyttöön. Kun seuraavan kerran syvempi tarkistus tehdään (24 tunnin sisällä monitorin lisäämisestä tai heti kun napsautat "Tarkista nyt"), SSL-osio rivillä täytetään myöntäjällä, vanhentumispäivällä ja jäljellä olevilla päivillä. Tästä eteenpäin monitori valvoo varmennetta ja hälyttää 30/14/7/3/1 päivän kynnyksillä.

Muilla kuin HTTPS-monitoreilla SSL jätetään huomiotta. Jos monitorilla on mukautettu SSL-portti, työkalu yrittää sopivaa porttia (443 oletuksena; 465 SMTPS:lle, 993 IMAPS:lle jne. monitorityypin mukaan).

Usein kysyttyä

Kuinka paljon etukäteen minun pitäisi saada varoitus SSL-varmenteen vanhentumisesta?
Vakiokynnykset varoituksille ovat 30, 14, 7, 3 ja 1 päivää ennen vanhentumista. Kolmekymmentä päivää antaa aikaa suunnitella uusimista työaikana; lyhyemmät hälytykset lisäävät kiireellisyyttä. Jos luotat automaattiseen uusimiseen (Let's Encrypt + certbot), 7 päivän hälytys on hetki tarkistaa onko uusinta todella onnistunut — hiljaiset epäonnistumiset ovat yleisiä ja vain riippumaton valvonta huomaa ne.
Tunnistaako SSL-valvonta ketjuvirheet tai hostname-ristiriidat?
Kyllä. Monitori tekee oikean TLS handshake:n ja tarkistaa palvelimen varmenteen. Jos varmenne on vanhentunut, itse allekirjoitettu, CN/SAN ei täsmää hostnameen tai CA ei ole tunnettu, tarkistus epäonnistuu erityisellä virheellä. Tämä havaitsee ongelmat kuten "varmenne on teknisesti voimassa mutta asennettu väärin", jotka myös selaimet liputtavat.
Mitä jos varmenne on voimassa, mutta välittävä CA puuttuu?
Puutteelliset väliketjut aiheuttavat "chain incomplete" -virheen monille TLS-asiakkaille (curl, vanhat Android-laitteet), vaikka työpöytäselaimet osaavat hakea ketjun automaattisesti. SSL-tarkistuksemme vaatii täydellisen, kelvollisen ketjun — jos väliketju puuttuu, tarkistus epäonnistuu ja näyttää ongelman ennen kuin mobiilikäyttäjät huomaavat sen.
Voinko valvoa SSL:ää mukautetuilla porteilla (esim. 8443, sähköpostipalvelimet)?
Kyllä — määritä monitorin URL portilla (esim. https://api.example.com:8443/). Monitori yhdistää sille portille TLS handshakea varten ja lukee varmenteen. Sama toimii SMTP STARTTLS:lle, IMAP/POP3 TLS:lle ja muille protokollille, jotka käyttävät TLS:ää mukautetuilla porteilla.
Käyttääkö SSL-valvonta lisäkrediittejä?
Ei. TLS handshake ja varmenteen tarkistus tapahtuvat jokaisen HTTPS-tarkistuksen yhteydessä – ilman lisäkustannusta. Vanhentumisvaroitukset viidellä kynnyksellä ovat myös ilmaisia. WHOIS-haku domainin vanhentumiselle on ainoa lisätoiminto, joka toimii erillisenä päivittäisenä ajoituksena.

SSL-varmenteen valvonta