À quel moment devrais-je être averti de l’expiration d’un certificat SSL ?

Les seuils d’alerte standard sont 30, 14, 7, 3 et 1 jours avant expiration. Trente jours permettent de planifier le renouvellement pendant les heures ouvrées ; les alertes plus proches accroissent l’urgence. Si vous comptez sur l’auto-renouvellement (Let's Encrypt avec certbot), l’alerte à 7 jours est le moment de vérifier que le renouvellement a vraiment eu lieu — les échecs silencieux sont fréquents et seul un monitoring indépendant les détecte.

Le monitoring SSL détecte-t-il les problèmes de chaîne ou d’incompatibilité du nom d’hôte ?

Oui. Le moniteur effectue un véritable handshake TLS et vérifie le certificat présenté. S’il est expiré, auto-signé, si le CN/SAN ne correspond pas à l’hôte ou signé par une CA inconnue, le contrôle échoue avec une erreur spécifique. Il détecte ainsi les problèmes du type « certificat techniquement valide mais mal installé » que les navigateurs signalent également.

Que se passe-t-il si le certificat est valide mais qu’il manque un intermédiaire ?

L’absence de certificats intermédiaires provoque une erreur « chaîne incomplète » chez de nombreux clients TLS (curl, anciens appareils Android) même si les navigateurs desktop peuvent parfois récupérer la chaîne automatiquement. Notre contrôle SSL requiert une chaîne complète et valide — s’il manque un intermédiaire, le contrôle échoue en indiquant le problème avant que les utilisateurs mobile ne s’en rendent compte.

Puis-je surveiller le SSL sur des ports personnalisés (ex. 8443, serveurs mail) ?

Oui — configurez l’URL du moniteur avec le port désiré (ex. https://api.example.com:8443/). Le moniteur se connecte alors à ce port pour le handshake TLS et lit le certificat. Ça fonctionne aussi pour SMTP STARTTLS, IMAP/POP3 TLS et d’autres protocoles qui encapsulent TLS sur des ports personnalisés.

Le monitoring SSL utilise-t-il des crédits supplémentaires ?

Non. Le handshake TLS et la vérification du certificat se font dans chaque contrôle HTTPS — sans coût supplémentaire. Les alertes d’expiration sur 5 seuils sont également gratuites. Les requêtes WHOIS pour l’expiration de domaine sont la seule fonction complémentaire opérant selon un planning quotidien séparé.

Surveillance de certificat SSL — alertes à 30/14/7/3/1 jours

Un certificat SSL expiré bloque tous les navigateurs du monde exactement à minuit. Anticipez avec plus de 30 jours d’avance.

Coût d'un renouvellement SSL manqué

Un certificat SSL qui expire à 23h59:59 ne se dégrade pas en douceur. À 00h00:00 le jour suivant, chaque navigateur affiche une alerte de sécurité en plein écran, chaque client API échoue lors du handshake TLS, chaque intégrateur de webhook retourne une erreur, chaque moteur de recherche dégrade vos positions, chaque email est rejeté si le certificat couvrait aussi SMTP. La réparation est rapide - réémission, redéploiement - mais la fenêtre entre l'expiration et la résolution est brutale, car personne ne remarque le certificat avant minuit, seulement après.

La surveillance SSL existe pour que vous le remarquiez avant minuit. Le moniteur lit le certificat à partir de l'hôte en ligne, analyse la période de validité et prévient avec une grande marge d'avance - 30 jours, 14 jours, 7 jours, 3 jours, 1 jour - afin que le renouvellement ne soit jamais une surprise.

Ce qui est surveillé

Pour chaque site HTTPS surveillé, DiagnoSEO Uptime Monitoring ouvre une connexion TLS, récupère le certificat du pair et l'analyse. Le tableau de bord enregistre :

Validité : le certificat est-il actuellement dans sa période de validité ?
Jours restants avant expiration : compteur dynamique affiché sous forme de badge coloré (vert >30 jours, orange 8-30, rouge <8).
Date d'expiration : la date exacte.
Émetteur : qui a signé le certificat (Let's Encrypt, DigiCert, GlobalSign, etc.)
Sujet : common name sur le certificat.

Si le certificat devient invalide - expiré, nom d’hôte incorrect, chaîne brisée, auto-signé quand il ne devrait pas - le moniteur signale SSL invalide indépendamment du statut HTTP. L'état "HTTPS cassé, mais serveur fonctionnel" devient immédiatement visible.

Seuils d’alerte

L’outil déclenche des alertes SSL à cinq seuils : 30, 14, 7, 3 et 1 jour avant expiration. Chacun représente une alerte distincte. Si vous avez activé email et Telegram, vous recevrez cinq rappels à mesure que l’expiration s’approche - de plus en plus pressants. Le premier (30 jours) sert à planifier. L’alerte 14 jours signifie « non, vraiment, faites-le cette semaine ». Les alertes à 7, 3 et 1 jour existent au cas où le renouvellement ne s’est pas fait et que quelqu’un doit être contacté immédiatement.

Vous pouvez désactiver ces alertes par canal - certaines équipes ne veulent les alertes SSL que par email, pas sur Slack/Telegram (où elles pourraient se perdre dans le bruit). Configurez ceci dans Notifications.

Pourquoi l’auto-renouvellement ne suffit pas

Si vous utilisez Let's Encrypt avec certbot ou similaire, vous pensez peut-être que la surveillance SSL est superflue. Ce n’est pas le cas. L’auto-renouvellement peut échouer de plusieurs façons : l’email du compte certbot devient invalide, les challenges ACME échouent suite à un changement de règle du pare-feu, le cron de renouvellement s’arrête, un redémarrage de conteneur efface l’état du renouvellement, la validation de domaine échoue après un changement DNS. Dans tous ces cas, le certificat approche de l’expiration et l’auto-renouvellement ne vous sauvera pas. Le monitoring SSL est le filet de sécurité qui attrape ce que l’automatisation a manqué.

Pour les certificats internes (CA d’entreprise, mutual TLS) il n’y a généralement pas d’auto-renouvellement du tout - le monitoring SSL est alors le seul signal proactif appelant au renouvellement.

Configuration

Le monitoring SSL est automatique pour chaque moniteur HTTPS dans DiagnoSEO Uptime Monitoring. Il n’est pas nécessaire de l’activer séparément. La prochaine fois qu’un contrôle approfondi démarre (dans les 24h suivant l’ajout d’un moniteur ou immédiatement après avoir cliqué sur "Vérifier maintenant"), la section SSL de la ligne se remplit avec l’émetteur, la date d’expiration et les jours restants. À partir de ce moment, le moniteur surveille le certificat et alerte aux seuils 30/14/7/3/1 jour.

Pour les moniteurs autres que HTTPS, le SSL est ignoré. Pour les moniteurs avec un port SSL personnalisé, l’outil essaie un port adapté (443 par défaut ; 465 pour SMTPS, 993 pour IMAPS, etc. selon le type de moniteur).

Questions fréquemment posées

À quel moment devrais-je être averti de l’expiration d’un certificat SSL ?
Les seuils d’alerte standard sont 30, 14, 7, 3 et 1 jours avant expiration. Trente jours permettent de planifier le renouvellement pendant les heures ouvrées ; les alertes plus proches accroissent l’urgence. Si vous comptez sur l’auto-renouvellement (Let's Encrypt avec certbot), l’alerte à 7 jours est le moment de vérifier que le renouvellement a vraiment eu lieu — les échecs silencieux sont fréquents et seul un monitoring indépendant les détecte.
Le monitoring SSL détecte-t-il les problèmes de chaîne ou d’incompatibilité du nom d’hôte ?
Oui. Le moniteur effectue un véritable handshake TLS et vérifie le certificat présenté. S’il est expiré, auto-signé, si le CN/SAN ne correspond pas à l’hôte ou signé par une CA inconnue, le contrôle échoue avec une erreur spécifique. Il détecte ainsi les problèmes du type « certificat techniquement valide mais mal installé » que les navigateurs signalent également.
Que se passe-t-il si le certificat est valide mais qu’il manque un intermédiaire ?
L’absence de certificats intermédiaires provoque une erreur « chaîne incomplète » chez de nombreux clients TLS (curl, anciens appareils Android) même si les navigateurs desktop peuvent parfois récupérer la chaîne automatiquement. Notre contrôle SSL requiert une chaîne complète et valide — s’il manque un intermédiaire, le contrôle échoue en indiquant le problème avant que les utilisateurs mobile ne s’en rendent compte.
Puis-je surveiller le SSL sur des ports personnalisés (ex. 8443, serveurs mail) ?
Oui — configurez l’URL du moniteur avec le port désiré (ex. https://api.example.com:8443/). Le moniteur se connecte alors à ce port pour le handshake TLS et lit le certificat. Ça fonctionne aussi pour SMTP STARTTLS, IMAP/POP3 TLS et d’autres protocoles qui encapsulent TLS sur des ports personnalisés.
Le monitoring SSL utilise-t-il des crédits supplémentaires ?
Non. Le handshake TLS et la vérification du certificat se font dans chaque contrôle HTTPS — sans coût supplémentaire. Les alertes d’expiration sur 5 seuils sont également gratuites. Les requêtes WHOIS pour l’expiration de domaine sont la seule fonction complémentaire opérant selon un planning quotidien séparé.

Surveillance de certificat SSL