Seberapa jauh sebelumnya saya harus diperingatkan sebelum SSL kedaluwarsa?

Ambang peringatan standar adalah 30, 14, 7, 3, dan 1 hari sebelum kedaluwarsa. Tiga puluh hari memberi waktu untuk merencanakan pembaruan di jam kerja; alert lebih pendek meningkatkan urgensi. Jika Anda mengandalkan auto-renewal (Let's Encrypt dengan certbot), alert 7 hari adalah saat untuk memastikan renewal benar-benar terjadi — banyak kegagalan terjadi diam-diam dan hanya monitoring independen yang bisa mendeteksi.

Apakah monitoring SSL akan mendeteksi masalah rantai CA atau hostname tidak cocok?

Ya. Monitor melakukan handshake TLS sebenarnya dan memeriksa sertifikat yang disajikan. Jika sertifikat kedaluwarsa, self-signed, tidak cocok CN/SAN dengan hostname atau ditandatangani oleh CA tidak dikenal, pengecekan gagal dengan error spesifik. Ini menemukan masalah seperti "sertifikat secara teknis valid namun salah instalasi" yang juga ditegaskan browser.

Bagaimana jika sertifikat valid tapi CA intermediatenya kurang?

Kekurangan sertifikat intermediate menyebabkan error "chain incomplete" di banyak klien TLS (curl, perangkat Android lama) walaupun browser desktop bisa otomatis mengambil rantai. Pengecekan SSL kami mengharuskan rantai lengkap dan valid — jika intermediate kurang, pengecekan gagal, mengidentifikasi masalah sebelum user mobile menyadarinya.

Bisakah saya monitor SSL pada port custom (misal 8443, server email)?

Bisa — atur URL monitor dengan port (misalnya https://api.example.com:8443/). Monitor akan terkoneksi ke port tersebut untuk TLS handshake dan membaca sertifikat. Cara ini berlaku juga untuk SMTP STARTTLS, IMAP/POP3 TLS dan protokol lain yang menggunakan TLS pada port custom.

Apakah monitoring SSL menggunakan kredit tambahan?

Tidak. Handshake TLS dan pengecekan sertifikat merupakan bagian dari setiap pengecekan HTTPS — tanpa biaya terpisah. Alert kedaluwarsa di 5 ambang juga gratis. Lookup WHOIS kedaluwarsa domain adalah satu-satunya fungsi tambahan yang berjalan dengan jadwal harian terpisah.

Pemantauan Sertifikat SSL — Peringatan 30/14/7/3/1 hari

Sertifikat SSL yang kedaluwarsa akan membuat semua peramban gagal digunakan tepat pukul tengah malam. Cegah dengan deteksi mulai 30 hari sebelumnya.

Biaya Kelalaian Memperbarui SSL

Sertifikat SSL yang kedaluwarsa pada pukul 23:59:59 tidak akan berakhir secara bertahap. Pada pukul 00:00:00 keesokan harinya, setiap browser akan langsung menampilkan peringatan keamanan layar penuh, setiap klien API gagal pada tahap TLS handshake, setiap integrator webhook mengembalikan error, setiap mesin pencari menurunkan peringkat situs Anda, setiap email akan ditolak jika sertifikat juga melindungi SMTP. Perbaikannya memang cepat — reissue, redeploy — namun jendela waktu antara kedaluwarsa dan perbaikan sangat brutal, karena tidak ada yang memperhatikan sertifikat sebelum tengah malam, hanya setelahnya.

Monitoring SSL ada agar Anda bisa mengetahuinya sebelum tengah malam. Monitor membaca sertifikat dari host yang aktif, mengurai masa berlaku, dan memberi peringatan jauh sebelumnya — 30 hari, 14 hari, 7 hari, 3 hari, 1 hari — sehingga pembaruan sertifikat tidak pernah menjadi kejutan.

Apa yang Dimonitor

Untuk setiap situs HTTPS yang dimonitor, DiagnoSEO Uptime Monitoring membuka koneksi TLS, mengambil sertifikat peer dan mengurainya. Dari sini, dashboard mencatat:

Berlaku: apakah sertifikat saat ini masih dalam masa berlakunya?
Hari hingga kedaluwarsa: hitungan berjalan, ditampilkan sebagai label warna (hijau >30 hari, oranye 8-30, merah <8).
Tanggal kedaluwarsa: tanggal pasti.
Penerbit: siapa penandatangan sertifikat (Let's Encrypt, DigiCert, GlobalSign, dsb.)
Subject: common name di sertifikat.

Jika sertifikat menjadi tidak valid — kedaluwarsa, hostname salah, rantai rusak, self-signed ketika seharusnya tidak — monitor akan melaporkan SSL invalid terlepas dari status HTTP. Kondisi "HTTPS rusak, tapi server tetap berjalan" akan langsung terlihat.

Ambang Peringatan

Alat ini mengirimkan peringatan SSL pada lima ambang batas: 30, 14, 7, 3, dan 1 hari sebelum masa berlaku habis. Setiap ambang adalah alert terpisah. Jika Anda mengaktifkan email dan Telegram, Anda akan mendapat lima pengingat saat masa kedaluwarsa mendekat — makin lama makin mendesak. Yang pertama (30 hari) khusus perencanaan. Yang 14 hari untuk "serius, lakukan minggu ini". Alert 7, 3 dan 1 hari ada untuk kasus pembaruan belum dilakukan dan seseorang harus segera diberitahu.

Anda dapat menonaktifkan alert per channel — beberapa tim hanya ingin alert SSL via email, tidak di Slack/Telegram (karena bisa hilang di antara notifikasi lain). Konfigurasi di menu Notifikasi.

Mengapa Auto-Renewal Tidak Cukup

Jika Anda menggunakan Let's Encrypt dengan certbot atau serupa, Anda mungkin berpikir monitoring SSL tidak perlu. Salah. Auto-renewal bisa gagal dengan banyak cara: email akun certbot tidak valid, ACME challenge gagal karena perubahan firewall, cron pembaruan tidak jalan, restart container menghapus status renewal, validasi domain gagal akibat perubahan DNS. Dalam semua skenario ini, sertifikat tetap menuju kedaluwarsa dan auto-renewal tidak bisa menyelamatkan Anda. Monitoring SSL adalah jejaring pengaman untuk menangkap apa yang terlewatkan otomatisasi.

Untuk sertifikat internal (CA perusahaan, mutual TLS) biasanya tidak ada auto-renewal — monitoring SSL jadi satu-satunya sinyal proaktif bahwa pembaruan dibutuhkan.

Konfigurasi

Monitoring SSL bersifat otomatis untuk setiap monitor HTTPS di DiagnoSEO Uptime Monitoring. Tidak perlu diaktifkan secara terpisah. Saat pengecekan mendalam berikutnya dijalankan (dalam 24 jam sejak penambahan monitor atau segera setelah klik "Periksa sekarang"), bagian SSL pada baris akan terisi penerbit, tanggal kedaluwarsa, dan sisa hari. Mulai saat itu monitor akan menjaga sertifikat dan memberi peringatan pada ambang 30/14/7/3/1 hari.

Pada monitor selain HTTPS, pemeriksaan SSL dilewati. Untuk monitor dengan port SSL custom, alat akan mencoba port sesuai (443 default; 465 untuk SMTPS, 993 untuk IMAPS, dst sesuai tipe monitor).

Pertanyaan yang Sering Diajukan

Seberapa jauh sebelumnya saya harus diperingatkan sebelum SSL kedaluwarsa?
Ambang peringatan standar adalah 30, 14, 7, 3, dan 1 hari sebelum kedaluwarsa. Tiga puluh hari memberi waktu untuk merencanakan pembaruan di jam kerja; alert lebih pendek meningkatkan urgensi. Jika Anda mengandalkan auto-renewal (Let's Encrypt dengan certbot), alert 7 hari adalah saat untuk memastikan renewal benar-benar terjadi — banyak kegagalan terjadi diam-diam dan hanya monitoring independen yang bisa mendeteksi.
Apakah monitoring SSL akan mendeteksi masalah rantai CA atau hostname tidak cocok?
Ya. Monitor melakukan handshake TLS sebenarnya dan memeriksa sertifikat yang disajikan. Jika sertifikat kedaluwarsa, self-signed, tidak cocok CN/SAN dengan hostname atau ditandatangani oleh CA tidak dikenal, pengecekan gagal dengan error spesifik. Ini menemukan masalah seperti "sertifikat secara teknis valid namun salah instalasi" yang juga ditegaskan browser.
Bagaimana jika sertifikat valid tapi CA intermediatenya kurang?
Kekurangan sertifikat intermediate menyebabkan error "chain incomplete" di banyak klien TLS (curl, perangkat Android lama) walaupun browser desktop bisa otomatis mengambil rantai. Pengecekan SSL kami mengharuskan rantai lengkap dan valid — jika intermediate kurang, pengecekan gagal, mengidentifikasi masalah sebelum user mobile menyadarinya.
Bisakah saya monitor SSL pada port custom (misal 8443, server email)?
Bisa — atur URL monitor dengan port (misalnya https://api.example.com:8443/). Monitor akan terkoneksi ke port tersebut untuk TLS handshake dan membaca sertifikat. Cara ini berlaku juga untuk SMTP STARTTLS, IMAP/POP3 TLS dan protokol lain yang menggunakan TLS pada port custom.
Apakah monitoring SSL menggunakan kredit tambahan?
Tidak. Handshake TLS dan pengecekan sertifikat merupakan bagian dari setiap pengecekan HTTPS — tanpa biaya terpisah. Alert kedaluwarsa di 5 ambang juga gratis. Lookup WHOIS kedaluwarsa domain adalah satu-satunya fungsi tambahan yang berjalan dengan jadwal harian terpisah.

Pemantauan Sertifikat SSL