באיזה מרווח זמן מראש עליי לקבל התראה לפני שתוקף ה-SSL פג?

ספי ההתראה הסטנדרטיים הם 30, 14, 7, 3 ויום אחד לפני פקיעה. שלושים הימים הראשונים נותנים זמן לתכנן חידוש בשעות העבודה; התראות קצרות יותר מגבירות את הדחיפות. אם אתה מסתמך על חידוש אוטומטי (Let's Encrypt עם certbot), התראת 7 ימים היא הזמן לבדוק אם החידוש בוצע בפועל — תקלות שקטות נפוצות והן נתפסות רק ע"י מנטר עצמאי.

האם מעקב SSL יזהה בעיות בשרשרת או אי התאמה של שם מארח?

כן. המוניטור מבצע Handshake TLS אמיתי ובודק את התעודה המוגשת. אם התעודה פקעה, self-signed, יש אי התאמה בין CN/SAN לבין שם ה-host, או שהיא חתומה בידי CA לא מוכר — הבדיקה נכשלת עם שגיאה מפורטת. כך מתגלות בעיות מהסוג "התעודה טכנית בתוקף אך הותקנה לא נכון" שהדפדפנים גם כן מסמנים.

מה אם התעודה בתוקף אבל חסר CA ביניים?

חסרון של תעודות ביניים יגרום לשגיאת "chain incomplete" אצל הרבה לקוחות TLS (למשל curl, מכשירי אנדרואיד ישנים) גם אם דפדפנים ב-desktop מסוגלים להשלים את השרשרת לבד. בדיקת ה-SSL שלנו דורשת שרשרת מלאה ותקפה — אם חסר ביניים, הבדיקה נכשלת ומדגישה את הבעיה לפני שמשתמשי מובייל ייתקלו בה.

האם אפשר לעקוב SSL בפורטים מותאמים אישית (כמו 8443, שרת דואר)?

כן — קנפג את כתובת המוניטור עם פורט (למשל https://api.example.com:8443/). המוניטור יתחבר לפורט זה, יבצע Handshake TLS ויקרא את התעודה. זה עובד גם עבור SMTP STARTTLS, IMAP/POP3 TLS ופרוטוקולים נוספים המיישמים TLS בפורטים מותאמים.

האם מעקב SSL צורך קרדיטים נוספים?

לא. Handshake TLS ובדיקת התעודה מתבצעים כחלק מכל בדיקת HTTPS — ללא עלות נוספת. התראות פקיעה בחמשת הספים כלולות בחינם. בדיקות WHOIS לפקיעת דומיין הן הפונקציה היחידה שפועלת בלו"ז יומי נפרד.

מעקב תעודת SSL — התראות ב-30/14/7/3/1 ימים

תעודת SSL שפג תוקפה משבשת את כל הדפדפנים בעולם בדיוק בחצות. תפוס אותם כשהם עדיין בתוקף למעלה מ-30 יום.

העלות של החמצת חידוש SSL

תעודת SSL שפוקעת ב-23:59:59 לא דועכת בהדרגה. ב-00:00:00 ביום למחרת כל דפדפן יתחיל להציג אזהרת אבטחה במסך מלא, כל לקוח API ייכשל ב-TLS handshake, כל אינטגרטור webhook יחזיר שגיאה, כל מנוע חיפוש יוריד את הדירוג שלך, וכל דוא"ל יוקפץ חזרה אם התעודה כיסתה גם SMTP. התיקון מהיר - הוצאה מחדש, הטמעה מחדש - אבל החלון שבין הפקיעה לפתרון הוא קשה, כי אף אחד לא שם לב לתעודה לפני חצות, רק אחריה.

מעקב SSL קיים כדי שתבחין בתעודה לפני חצות. המנטר קורא את התעודה משרת חי, מפרש את תקופת התוקף ומתריע בהתרעה מספקת - 30 יום, 14 יום, 7 ימים, 3 ימים, יום אחד - כך שלעולם אין הפתעה לגבי החידוש.

מה מנוטר

לכל אתר HTTPS במעקב, DiagnoSEO Uptime Monitoring פותח חיבור TLS, לוכד את תעודת ה-peer ומפרש אותה. מהדשבורד הזה נרשמים:

תוקף: האם התעודה נמצאת כרגע בתוך תקופת התוקף שלה?
ימים עד לפקיעה: ספירה מתעדכנת, מוצגת כהדבקה צבעונית (ירוק >30 ימים, כתום 8-30, אדום <8).
תאריך פקיעה: התאריך המדויק.
מנפיק: מי חתם על התעודה (Let's Encrypt, DigiCert, GlobalSign וכו').
Subject: ה-Common Name בתעודה.

אם התעודה הופכת ללא תקפה - פקעה, שם מארח לא תקין, שרשרת פגומה, self-signed כאשר לא אמור להיות - המנטר מדווח על SSL לא תקין בלי קשר לסטטוס HTTP. המצב של "HTTPS שבור אך השרת באוויר" הופך מיידית לגלוי.

ספי התראות

הכלי משגר התראות SSL בחמישה ספים: 30, 14, 7, 3 ויום אחד לפני פקיעה. כל אחד הוא התראה נפרדת. אם מוגדרים גם דוא"ל וגם Telegram, תקבל חמישה תזכורות ככל שמתקרב מועד הפקיעה - הולכות ונהיות דחופות. הראשונה (30 ימים) מיועדת לתכנון. התראת 14 ימים היא ל"לא, ברצינות, תעשה את זה השבוע". התראות 7, 3 ויום אחד נועדו למקרה שהחידוש לא בוצע ומישהו חייב להיקרא מיידית.

ניתן לכבות אותן לפי ערוץ - ישנם צוותים שרוצים התראות SSL רק בדוא"ל, לא ב-Slack/Telegram (שם הן עשויות להיעלם ברעש). קנפג זאת בהתראות.

מדוע חידוש אוטומטי לא מספיק

אם אתה משתמש ב-Let's Encrypt בעזרת certbot או דומה, ייתכן שתחשוב שמעקב SSL מיותר. זה לא כך. חידוש אוטומטי עלול להיכשל מסיבות רבות: כתובת המייל של החשבון לא תקינה, אתגרי ACME נופלים בשל שינוי בחוקי firewall, cron של החידוש מפסיק לעבוד, הפעלה מחדש של קונטיינר מוחקת את מצב החידוש, ולידציה של דומיין נכשלת בעקבות שינוי ב-DNS. בכל המקרים האלה התעודה בדרך לפקיעה, והחידוש האוטומטי לא יציל אותך. מעקב SSL הוא רשת בטחון שתופסת מה שהאוטומציה פספסה.

לתעודות פנימיות (CA ארגוני, mutual TLS) לרוב אין חידוש אוטומטי כלל - מעקב SSL הוא האינדיקציה הפרואקטיבית היחידה לכך שיש לחדש.

הגדרה

מעקב SSL מופעל אוטומטית לכל מוניטור HTTPS ב-DiagnoSEO Uptime Monitoring. אין צורך להפעיל אותו בנפרד. בפעם הבאה שיתבצע בדיקה מעמיקה (בתוך 24 שעות מהוספת מוניטור, או מייד לאחר לחיצה על "בדוק עכשיו"), שורת ה-SSL תתמלא במנפיק, תאריך פקיעה וימים שנותרו. מאותו רגע, המוניטור יפקח על התעודה ויתרה מיידית בספי 30/14/7/3/1 יום.

במוניטורים שאינם HTTPS ה-SSL מדולג. עבור מוניטורים עם פורט SSL מותאם אישית, הכלי מנסה פורט מתאים (443 כברירת מחדל; 465 ל-SMTPS, 993 ל-IMAPS וכו', בהתאם לסוג המוניטור).

שאלות נפוצות

באיזה מרווח זמן מראש עליי לקבל התראה לפני שתוקף ה-SSL פג?
ספי ההתראה הסטנדרטיים הם 30, 14, 7, 3 ויום אחד לפני פקיעה. שלושים הימים הראשונים נותנים זמן לתכנן חידוש בשעות העבודה; התראות קצרות יותר מגבירות את הדחיפות. אם אתה מסתמך על חידוש אוטומטי (Let's Encrypt עם certbot), התראת 7 ימים היא הזמן לבדוק אם החידוש בוצע בפועל — תקלות שקטות נפוצות והן נתפסות רק ע"י מנטר עצמאי.
האם מעקב SSL יזהה בעיות בשרשרת או אי התאמה של שם מארח?
כן. המוניטור מבצע Handshake TLS אמיתי ובודק את התעודה המוגשת. אם התעודה פקעה, self-signed, יש אי התאמה בין CN/SAN לבין שם ה-host, או שהיא חתומה בידי CA לא מוכר — הבדיקה נכשלת עם שגיאה מפורטת. כך מתגלות בעיות מהסוג "התעודה טכנית בתוקף אך הותקנה לא נכון" שהדפדפנים גם כן מסמנים.
מה אם התעודה בתוקף אבל חסר CA ביניים?
חסרון של תעודות ביניים יגרום לשגיאת "chain incomplete" אצל הרבה לקוחות TLS (למשל curl, מכשירי אנדרואיד ישנים) גם אם דפדפנים ב-desktop מסוגלים להשלים את השרשרת לבד. בדיקת ה-SSL שלנו דורשת שרשרת מלאה ותקפה — אם חסר ביניים, הבדיקה נכשלת ומדגישה את הבעיה לפני שמשתמשי מובייל ייתקלו בה.
האם אפשר לעקוב SSL בפורטים מותאמים אישית (כמו 8443, שרת דואר)?
כן — קנפג את כתובת המוניטור עם פורט (למשל https://api.example.com:8443/). המוניטור יתחבר לפורט זה, יבצע Handshake TLS ויקרא את התעודה. זה עובד גם עבור SMTP STARTTLS, IMAP/POP3 TLS ופרוטוקולים נוספים המיישמים TLS בפורטים מותאמים.
האם מעקב SSL צורך קרדיטים נוספים?
לא. Handshake TLS ובדיקת התעודה מתבצעים כחלק מכל בדיקת HTTPS — ללא עלות נוספת. התראות פקיעה בחמשת הספים כלולות בחינם. בדיקות WHOIS לפקיעת דומיין הן הפונקציה היחידה שפועלת בלו"ז יומי נפרד.

מעקב תעודת SSL