Milyen előnnyel kellene figyelmeztetést kapnom az SSL lejárata előtt?

A standard riasztási küszöbök: 30, 14, 7, 3 és 1 nap a lejárat előtt. Harminc nap elég időt ad a megújítás munkaidőben történő megtervezésére; a rövidebb figyelmeztetések növelik a sürgősséget. Ha automata megújításra (Let's Encrypt certbottal) támaszkodsz, a 7 napos figyelmeztetés az, amikor érdemes ellenőrizni, valóban megújult-e a tanúsítvány — a megújítások csendes hibái gyakoriak, ezeket csak független megfigyelés veszi észre.

Az SSL-felügyelet észleli a lánc vagy hostnév eltérés problémákat is?

Igen. A monitor valódi TLS kézfogást kezdeményez, és ellenőrzi a kapott tanúsítványt. Ha a tanúsítvány lejárt, önaláírt, nem stimmel CN/SAN a hostnévvel, vagy ismeretlen CA írta alá, az ellenőrzés hibával elbukik. Az ilyen problémákat – "a tanúsítvány technikailag érvényes, de rosszul telepített" – a böngészők is jelzik, a felügyelet is kiemeli.

Mi van, ha a tanúsítvány érvényes, de hiányzik köztes CA?

Hiányzó köztes tanúsítványok "chain incomplete" hibát okoznak sok TLS-kliensnél (curl, régi Android eszközök), még ha asztali böngészők automatikusan le is tudják tölteni a hiányzó lánc elemeket. Az SSL-ellenőrzés teljes, érvényes láncot igényel – köztes tanúsítvány hiányakor az ellenőrzés hibát ad vissza, a problémát már azelőtt mutatva, hogy a mobil felhasználók szembesülnének vele.

Lehet SSL-t figyelni egyedi portokon (pl. 8443, levelező szerverek)?

Igen — állítsd be a monitor URL-jét porttal (pl. https://api.example.com:8443/). A monitor ezen a porton kezdeményez TLS kézfogást, és olvassa be a tanúsítványt. Ugyanígy működik SMTP STARTTLS, IMAP/POP3 TLS és más protokollok esetén, amelyek saját porton használnak TLS-t.

Az SSL-felügyelet fogyaszt plusz krediteket?

Nem. A TLS kézfogás és a tanúsítvány ellenőrzése minden HTTPS-ellenőrzés részeként történik – külön költség nélkül. Az 5 küszöbön érkező lejárati riasztások is ingyenesek. A domain lejárati WHOIS-lekérdezések az egyetlen kiegészítő funkció, amely külön napi ütemezéssel működik.

SSL-tanúsítvány felügyelet — 30/14/7/3/1 napos értesítések

Egy lejárt SSL-tanúsítvány éjfélkor minden böngészőben hibát okoz. Előzd meg ezt legalább 30 nappal korábban.

Az SSL-megújítás elmulasztásának költsége

Az éjfélkor, 23:59:59-kor lejáró SSL tanúsítvány nem fokozatosan válik érvénytelenné. Pontban 00:00:00-kor minden böngésző teljes képernyős biztonsági figyelmeztetést jelenít meg, minden API-kliens hibát dob TLS kézfogásnál, minden webhook integrátor hibát jelez, minden kereső visszaminősíti a pozícióidat, minden e-mail visszapattan, ha a tanúsítvány SMTP-re is érvényes volt. A javítás gyors – újrakiadás, újratelepítés – de a lejárat és a megoldás közti időszak kegyetlen, mert éjfél előtt senki sem veszi észre a problémát, csak utána.

Az SSL-felügyelet létezik, hogy még éjfél előtt észrevedd a gondot. A monitor élő rendszerről olvassa ki a tanúsítványt, elemzi annak érvényességét, és kellő előnnyel figyelmeztet – 30 nap, 14 nap, 7 nap, 3 nap, 1 nap –, így a megújítás sosem lesz meglepetés.

Mit figyelünk

Minden megfigyelt HTTPS-oldal esetén a DiagnoSEO Uptime Monitoring TLS-kapcsolatot nyit, letölti a szerver tanúsítványát, és elemzi azt. A dashboard ezekből az adatokat rögzíti:

Érvényesség: jelenleg érvényes időszakában van-e a tanúsítvány?
Napok lejáratig: gördülő számláló, színes pecsétként jelenik meg (zöld >30 nap, narancssárga 8-30, piros <8).
Lejárat dátuma: pontos dátum.
Kibocsátó: ki írta alá a tanúsítványt (Let's Encrypt, DigiCert, GlobalSign stb.)
Tárgy: common name a tanúsítványban.

Ha a tanúsítvány érvénytelenné válik – lejárt, hibás hostnév, hibás lánc, önaláírt amikor nem kéne – a monitor SSL invalid hibát jelez a HTTP állapottól függetlenül. A "hibás HTTPS, de a szerver él" állapot azonnal láthatóvá válik.

Riasztási küszöbök

Az eszköz öt küszöbnél küld SSL-riasztásokat: 30, 14, 7, 3 és 1 nappal a lejárat előtt. Mindegyik külön figyelmeztetés. Ha be van kapcsolva e-mail és Telegram, ötször kapsz emlékeztetőt, ahogy közeleg a lejárat—egyre sürgetőbbeket. Az első (30 nap) a tervezéshez való. A 14 napos: "nem, tényleg, ezen a héten csináld meg!" A 7, 3 és 1 napos azért van, hogy ha a megújítás mégsem történt meg, valaki azonnal riasztva legyen.

Ezek csatornánként is kikapcsolhatók – egyes csapatok csak e-mailen kérnek SSL riasztást, nem Slack/Telegramon (ahol elveszhet a többi üzenet közt). Ezt az Értesítések beállításainál módosíthatod.

Miért nem elég az automatikus megújítás

Ha Let's Encryptet használsz certbottal vagy hasonlóval, azt hihetnéd, hogy SSL-felügyeletre nincs szükség. Pedig igen. Az automatikus megújítás számos módon megbukhat: a certbot fiók e-mailje érvénytelen lesz, az ACME-kihívások elbuknak tűzfalváltás miatt, a megújító cron leáll, egy konténer újraindítása törli a megújítás állapotát, a domain validáció elhasal DNS módosítás után. Mindezekben az esetekben a tanúsítvány lejár, az automata megújítás pedig nem segít. Az SSL-monitoring a biztonsági háló, ami elkapja, amit az automatizmus kihagyott.

Belső tanúsítványoknál (céges CA, kölcsönös TLS) legtöbbször nincs automata megújítás – itt az SSL-felügyelet az egyetlen proaktív jel, hogy megújítás szükséges.

Beállítás

Az SSL-felügyelet automatikusan jár minden HTTPS monitorhoz a DiagnoSEO Uptime Monitoring rendszerében. Külön bekapcsolni nem kell. Legközelebb, amikor mélyebb ellenőrzés indul (24 órán belül monitor hozzáadása után vagy közvetlenül a "Most ellenőrizd" gombra kattintva), a sor SSL szekciója feltöltődik a kibocsátóval, lejárati dátummal és a hátralévő napokkal. Ettől kezdve a monitor kezeli a tanúsítványt, és riaszt a 30/14/7/3/1 napos küszöböknél.

HTTPS-en kívüli monitoroknál az SSL ellenőrzése kimarad. Egyedi SSL-portot használó monitor esetén az eszköz megpróbálja a megfelelő portot (443 alapértelmezetten; 465 SMTPS-hez, 993 IMAPS-hez, stb., a monitor típusának megfelelően).

Gyakori kérdések

Milyen előnnyel kellene figyelmeztetést kapnom az SSL lejárata előtt?
A standard riasztási küszöbök: 30, 14, 7, 3 és 1 nap a lejárat előtt. Harminc nap elég időt ad a megújítás munkaidőben történő megtervezésére; a rövidebb figyelmeztetések növelik a sürgősséget. Ha automata megújításra (Let's Encrypt certbottal) támaszkodsz, a 7 napos figyelmeztetés az, amikor érdemes ellenőrizni, valóban megújult-e a tanúsítvány — a megújítások csendes hibái gyakoriak, ezeket csak független megfigyelés veszi észre.
Az SSL-felügyelet észleli a lánc vagy hostnév eltérés problémákat is?
Igen. A monitor valódi TLS kézfogást kezdeményez, és ellenőrzi a kapott tanúsítványt. Ha a tanúsítvány lejárt, önaláírt, nem stimmel CN/SAN a hostnévvel, vagy ismeretlen CA írta alá, az ellenőrzés hibával elbukik. Az ilyen problémákat – "a tanúsítvány technikailag érvényes, de rosszul telepített" – a böngészők is jelzik, a felügyelet is kiemeli.
Mi van, ha a tanúsítvány érvényes, de hiányzik köztes CA?
Hiányzó köztes tanúsítványok "chain incomplete" hibát okoznak sok TLS-kliensnél (curl, régi Android eszközök), még ha asztali böngészők automatikusan le is tudják tölteni a hiányzó lánc elemeket. Az SSL-ellenőrzés teljes, érvényes láncot igényel – köztes tanúsítvány hiányakor az ellenőrzés hibát ad vissza, a problémát már azelőtt mutatva, hogy a mobil felhasználók szembesülnének vele.
Lehet SSL-t figyelni egyedi portokon (pl. 8443, levelező szerverek)?
Igen — állítsd be a monitor URL-jét porttal (pl. https://api.example.com:8443/). A monitor ezen a porton kezdeményez TLS kézfogást, és olvassa be a tanúsítványt. Ugyanígy működik SMTP STARTTLS, IMAP/POP3 TLS és más protokollok esetén, amelyek saját porton használnak TLS-t.
Az SSL-felügyelet fogyaszt plusz krediteket?
Nem. A TLS kézfogás és a tanúsítvány ellenőrzése minden HTTPS-ellenőrzés részeként történik – külön költség nélkül. Az 5 küszöbön érkező lejárati riasztások is ingyenesek. A domain lejárati WHOIS-lekérdezések az egyetlen kiegészítő funkció, amely külön napi ütemezéssel működik.

SSL-tanúsítvány felügyelet