S koliko dana unaprijed trebam biti upozoren na istek SSL-a?

Standardni pragovi upozorenja su 30, 14, 7, 3 i 1 dan prije isteka. Trideset dana daje vremena za planiranje obnove tijekom radnog vremena; kraći alarmi povećavaju hitnost. Ako se oslanjaš na auto-obnavljanje (Let's Encrypt s certbotom), 7-dnevni alert je trenutak za provjeriti je li obnovljeno — tihi kvarovi obnove su česti i hvata ih samo neovisni monitoring.

Da li SSL monitoring otkriva probleme s lancem ili neusklađenim hostnameom?

Da. Monitor izvodi pravi TLS handshake i provjerava posluženi certifikat. Ako je certifikat istekao, self-signed, ima neusklađenost CN/SAN s hostnameom ili je potpisan nepoznatim CA, provjera pada sa specifičnom greškom. To hvata probleme tipa "certifikat je tehnički važeći ali loše instaliran" koje i preglednici označavaju.

Što ako je certifikat važeći, ali nedostaje intermediate CA?

Nedostajući intermediate certifikati uzrokuju grešku "chain incomplete" u mnogim TLS klijentima (curl, stariji Android uređaji) iako desktop preglednici mogu automatski dohvatiti lanac. Naša SSL provjera zahtijeva potpuni, važeći lanac — ako nedostaje intermediate, provjera pada i problem je vidljiv prije nego ga primijete mobilni korisnici.

Mogu li nadgledati SSL na custom portovima (npr. 8443, serverska pošta)?

Da — postavi URL monitora s portom (npr. https://api.example.com:8443/). Monitor se spaja na taj port radi TLS handshakea i čita certifikat. Isto vrijedi i za SMTP STARTTLS, IMAP/POP3 TLS i druge protokole koji koriste TLS na posebnim portovima.

Troši li SSL monitoring dodatne kredite?

Ne. TLS handshake i provjera certifikata događaju se u sklopu svakog HTTPS checka – bez dodatnog troška. Obavijesti o isteku na 5 pragova također su besplatne. WHOIS lookupi za istek domene su jedina pomoćna funkcija koja radi prema posebnom dnevnom rasporedu.

Praćenje SSL certifikata — obavijesti na 30/14/7/3/1 dan

Istekli SSL certifikat uzrokuje neispravnost svih preglednika na svijetu točno u ponoć. Otkrivajte ih više od 30 dana unaprijed.

Trošak propuštenog obnavljanja SSL-a

SSL certifikat koji ističe u 23:59:59 ne istječe postupno. U 00:00:00 sljedećeg dana svaki preglednik prikazuje upozorenje o sigurnosti preko cijelog ekrana, svaki API klijent ne prolazi TLS handshake, svaki integrator webhookova vraća grešku, svaka tražilica degradira tvoje pozicije, svaki email se odbija, ako certifikat pokriva i SMTP. Popravak je brz – ponovno izdavanje, redeploy – ali prozor između isteka i rješenja je brutalan, jer nitko ne primjeti certifikat prije ponoći, već tek nakon nje.

SSL nadzor postoji kako bi ipak primijetio prije ponoći. Monitor čita certifikat sa živog hosta, parsira razdoblje valjanosti i upozorava s velikom vremenskom rezervom – 30 dana, 14 dana, 7 dana, 3 dana, 1 dan – tako da obnavljanje nikad ne bude iznenađenje.

Što se nadgleda

Za svaku nadgledanu HTTPS stranicu DiagnoSEO Uptime Monitoring otvara TLS vezu, dohvaća peer certifikat i parsira ga. Iz toga dashboard bilježi:

Valjanost: je li certifikat trenutno u svom razdoblju valjanosti?
Dani do isteka: rolling count, prikazano kao šarena oznaka (zelena >30 dana, narančasta 8-30, crvena <8).
Datum isteka: točan datum.
Izdavač: tko je potpisao certifikat (Let's Encrypt, DigiCert, GlobalSign itd.)
Subject: common name na certifikatu.

Ako certifikat postane nevažeći – istekao, neispravno ime hosta, iskrivljeni lanac, self-signed kad ne bi trebao biti – monitor prijavljuje SSL nevažeći bez obzira na HTTP status. Stanje "pokvareni HTTPS, ali server radi" odmah postaje vidljivo.

Pragovi upozorenja

Alat šalje SSL upozorenja na pet pragova: 30, 14, 7, 3 i 1 dan prije isteka. Svaki je zasebni alert. Ako imaš uključen email i Telegram, dobit ćeš pet podsjetnika kako se približava istek – sve hitnijih. Prvi (30 dana) služi za planiranje. 14-dnevni za "ne, stvarno, napravi to ovaj tjedan". 7, 3 i 1-dnevni postoje za slučaj da se obnavljanje ne dogodi i netko mora biti odmah obaviješten.

Možeš ih isključiti po kanalu – neki timovi žele SSL upozorenja samo emailom, a ne na Slacku/Telegramu (gdje bi se mogla izgubiti u buci). Podesi to u Obavijestima.

Zašto auto-obnavljanje nije dosta

Ako koristiš Let's Encrypt s certbotom ili slično, možeš pomisliti da ti SSL nadzor nije potreban. Nije tako. Auto-obnavljanje može propasti na mnogo načina: email za certbot račun postane nevažeći, ACME challenge ne radi zbog promjene firewall pravila, cron za obnavljanje prestane raditi, restart kontenera izbrise status obnavljanja, validacija domene padne promjenom DNS-a. U svim tim slučajevima certifikat ide prema isteku, a auto-obnavljanje te neće spasiti. SSL nadzor je sigurnosna mreža koja hvata ono što je automatizacija propustila.

Za interne certifikate (korporativni CA, mutual TLS) obično nema auto-obnavljanja – SSL nadzor je jedini proaktivni signal da je potrebno obnavljanje.

Konfiguracija

SSL nadzor je automatski za svaki HTTPS monitor u DiagnoSEO Uptime Monitoring. Ne treba ga posebno uključivati. Sljedeći put kad se pokrene dublja provjera (u roku 24h od dodavanja monitora ili odmah nakon što klikneš "Provjeri sada"), SSL sekcija retka puni se s izdavačem, datumom isteka i preostalim danima. Od tog trenutka monitor brine o certifikatu i alarmira na pragovima 30/14/7/3/1 dan.

Za monitore koji nisu HTTPS SSL se preskače. Za monitore s nestandardnim SSL portom alat pokušava odgovarajući port (443 kao default; 465 za SMTPS, 993 za IMAPS itd. ovisno o tipu monitora).

Najčešća pitanja

S koliko dana unaprijed trebam biti upozoren na istek SSL-a?
Standardni pragovi upozorenja su 30, 14, 7, 3 i 1 dan prije isteka. Trideset dana daje vremena za planiranje obnove tijekom radnog vremena; kraći alarmi povećavaju hitnost. Ako se oslanjaš na auto-obnavljanje (Let's Encrypt s certbotom), 7-dnevni alert je trenutak za provjeriti je li obnovljeno — tihi kvarovi obnove su česti i hvata ih samo neovisni monitoring.
Da li SSL monitoring otkriva probleme s lancem ili neusklađenim hostnameom?
Da. Monitor izvodi pravi TLS handshake i provjerava posluženi certifikat. Ako je certifikat istekao, self-signed, ima neusklađenost CN/SAN s hostnameom ili je potpisan nepoznatim CA, provjera pada sa specifičnom greškom. To hvata probleme tipa "certifikat je tehnički važeći ali loše instaliran" koje i preglednici označavaju.
Što ako je certifikat važeći, ali nedostaje intermediate CA?
Nedostajući intermediate certifikati uzrokuju grešku "chain incomplete" u mnogim TLS klijentima (curl, stariji Android uređaji) iako desktop preglednici mogu automatski dohvatiti lanac. Naša SSL provjera zahtijeva potpuni, važeći lanac — ako nedostaje intermediate, provjera pada i problem je vidljiv prije nego ga primijete mobilni korisnici.
Mogu li nadgledati SSL na custom portovima (npr. 8443, serverska pošta)?
Da — postavi URL monitora s portom (npr. https://api.example.com:8443/). Monitor se spaja na taj port radi TLS handshakea i čita certifikat. Isto vrijedi i za SMTP STARTTLS, IMAP/POP3 TLS i druge protokole koji koriste TLS na posebnim portovima.
Troši li SSL monitoring dodatne kredite?
Ne. TLS handshake i provjera certifikata događaju se u sklopu svakog HTTPS checka – bez dodatnog troška. Obavijesti o isteku na 5 pragova također su besplatne. WHOIS lookupi za istek domene su jedina pomoćna funkcija koja radi prema posebnom dnevnom rasporedu.

Praćenje SSL certifikata