Con quanto anticipo dovrei essere avvisato della scadenza SSL?

Le soglie standard di avviso sono 30, 14, 7, 3 e 1 giorno prima della scadenza. Trenta giorni consentono di pianificare il rinnovo in orario lavorativo; le notifiche più ravvicinate aumentano l’urgenza. Se ti affidi all’auto-rinnovo (Let's Encrypt con certbot), l’avviso a 7 giorni è il momento per controllare se il rinnovo è effettivamente avvenuto — i guasti silenziosi sono comuni e solo il monitoraggio indipendente può rilevarli.

Il monitoraggio SSL rileva problemi di catena o incongruenze sull’hostname?

Sì. Il monitor esegue un vero handshake TLS e controlla il certificato servito. Se il certificato è scaduto, self-signed, presenta incongruenze tra CN/SAN e l’hostname o è firmato da un CA sconosciuto, il check fallisce con un errore specifico. Questo intercetta problemi di tipo "il certificato è tecnicamente valido ma installato male" che anche i browser segnalano.

Cosa succede se il certificato è valido ma manca una CA intermedia?

La mancanza di certificati intermedi causa l’errore “chain incomplete” su molti client TLS (curl, vecchi dispositivi Android) anche se i browser desktop possono recuperarli automaticamente scaricando la catena. Il nostro check SSL richiede una catena completa e valida — se manca un intermedio, il check fallisce, mostrando il problema prima che se ne accorgano gli utenti mobile.

Posso monitorare SSL su porte personalizzate (es. 8443, server email)?

Sì — configura l'URL del monitor con la porta (es. https://api.example.com:8443/). Il monitor si connette a quella porta per la stretta di mano TLS e legge il certificato. Lo stesso vale per SMTP STARTTLS, IMAP/POP3 TLS e altri protocolli che incapsulano TLS su porte personalizzate.

Il monitoraggio SSL utilizza crediti aggiuntivi?

No. La stretta di mano TLS e la verifica del certificato avvengono come parte di ogni controllo HTTPS — senza costo aggiuntivo. Anche gli avvisi di scadenza nelle 5 soglie sono gratuiti. I lookup WHOIS per la scadenza dominio sono l'unica funzione aggiuntiva che avviene su una pianificazione giornaliera separata.

Monitoraggio certificato SSL — avvisi a 30/14/7/3/1 giorni

Un certificato SSL scaduto manda in errore tutti i browser del mondo a mezzanotte precisa. Individuali con oltre 30 giorni di anticipo.

Il costo del mancato rinnovo SSL

Un certificato SSL che scade alle 23:59:59 non si degrada gradualmente. Alle 00:00:00 del giorno successivo, ogni browser inizia a mostrare un avviso di sicurezza a schermo intero, ogni client API fallisce durante il TLS handshake, ogni integratore di webhook restituisce un errore, ogni motore di ricerca abbassa il tuo posizionamento, ogni email viene respinta se il certificato copriva anche SMTP. La riparazione è rapida – reissue, redeploy – ma la finestra tra la scadenza e la soluzione è brutale, perché nessuno si accorge del certificato prima di mezzanotte, solo dopo.

Il monitoraggio SSL esiste affinché tu possa accorgerti prima di mezzanotte. Il monitor legge il certificato dall’host attivo, ne analizza il periodo di validità e avvisa con largo anticipo – 30 giorni, 14 giorni, 7 giorni, 3 giorni, 1 giorno – così il rinnovo non è mai una sorpresa.

Cosa viene monitorato

Per ogni sito HTTPS monitorato, DiagnoSEO Uptime Monitoring apre una connessione TLS, cattura il certificato del peer e lo analizza. Da qui, la dashboard registra:

Validità: il certificato è attualmente entro il suo periodo di validità?
Giorni alla scadenza: conteggio rotante, visualizzato come etichetta colorata (verde >30 giorni, arancione 8-30, rosso <8).
Data di scadenza: la data esatta.
Emittente: chi ha firmato il certificato (Let's Encrypt, DigiCert, GlobalSign, ecc.)
Subject: common name sul certificato.

Se il certificato diventa non valido – scaduto, hostname errato, catena difettosa, self-signed quando non dovrebbe – il monitor segnala SSL invalid indipendentemente dallo stato HTTP. Lo stato "HTTPS rotto, ma il server funziona" diventa immediatamente visibile.

Soglie di allerta

Lo strumento attiva avvisi SSL su cinque soglie: 30, 14, 7, 3 e 1 giorno prima della scadenza. Ognuno è un alert separato. Se hai email e Telegram attivi, riceverai cinque promemoria mano a mano che si avvicina la scadenza – sempre più urgenti. Il primo (30 giorni) serve per pianificare. Quello a 14 giorni per "no, davvero, fallo questa settimana". Quelli a 7, 3 e 1 giorno esistono nel caso il rinnovo non sia avvenuto e serva una chiamata urgente.

È possibile disattivarli per canale – alcuni team vogliono solo email sugli alert SSL, non su Slack/Telegram (dove si potrebbero perdere nel rumore). Configura questa preferenza nelle Notifiche.

Perché l’auto-rinnovo non basta

Se usi Let's Encrypt con certbot o simili, potresti pensare che il monitoraggio SSL sia superfluo. Non lo è. L’auto-rinnovo può fallire in molti modi: l’email dell’account certbot diventa non valida, i challenge ACME falliscono per cambiamenti al firewall, il cron del rinnovo smette di funzionare, il riavvio del container cancella lo stato del rinnovo, la validazione del dominio fallisce per modifiche DNS. In tutti questi casi, il certificato andrà a scadere e l’automazione non ti salverà. Il monitoraggio SSL è la rete di sicurezza che cattura ciò che l'automatismo si lascia sfuggire.

Per i certificati interni (CA aziendale, mutual TLS) spesso l’auto-rinnovo non esiste proprio – il monitoraggio SSL è l’unico segnale proattivo che indica la necessità di rinnovo.

Configurazione

Il monitoraggio SSL è automatico per ogni monitor HTTPS in DiagnoSEO Uptime Monitoring. Non serve attivarlo separatamente. Alla prossima esecuzione di un controllo approfondito (entro 24h dall’aggiunta del monitor o immediatamente dopo aver cliccato “Controlla ora”), la sezione SSL della riga verrà popolata con emittente, data di scadenza e giorni restanti. Da quel momento il monitor tiene d'occhio il certificato e avvisa alle soglie di 30/14/7/3/1 giorno.

Per monitor diversi da HTTPS, SSL viene ignorato. Per i monitor con porta SSL personalizzata, lo strumento prova la porta corrispondente (443 come default; 465 per SMTPS, 993 per IMAPS, ecc. a seconda del tipo di monitor).

Domande frequenti

Con quanto anticipo dovrei essere avvisato della scadenza SSL?
Le soglie standard di avviso sono 30, 14, 7, 3 e 1 giorno prima della scadenza. Trenta giorni consentono di pianificare il rinnovo in orario lavorativo; le notifiche più ravvicinate aumentano l’urgenza. Se ti affidi all’auto-rinnovo (Let's Encrypt con certbot), l’avviso a 7 giorni è il momento per controllare se il rinnovo è effettivamente avvenuto — i guasti silenziosi sono comuni e solo il monitoraggio indipendente può rilevarli.
Il monitoraggio SSL rileva problemi di catena o incongruenze sull’hostname?
Sì. Il monitor esegue un vero handshake TLS e controlla il certificato servito. Se il certificato è scaduto, self-signed, presenta incongruenze tra CN/SAN e l’hostname o è firmato da un CA sconosciuto, il check fallisce con un errore specifico. Questo intercetta problemi di tipo "il certificato è tecnicamente valido ma installato male" che anche i browser segnalano.
Cosa succede se il certificato è valido ma manca una CA intermedia?
La mancanza di certificati intermedi causa l’errore “chain incomplete” su molti client TLS (curl, vecchi dispositivi Android) anche se i browser desktop possono recuperarli automaticamente scaricando la catena. Il nostro check SSL richiede una catena completa e valida — se manca un intermedio, il check fallisce, mostrando il problema prima che se ne accorgano gli utenti mobile.
Posso monitorare SSL su porte personalizzate (es. 8443, server email)?
Sì — configura l'URL del monitor con la porta (es. https://api.example.com:8443/). Il monitor si connette a quella porta per la stretta di mano TLS e legge il certificato. Lo stesso vale per SMTP STARTTLS, IMAP/POP3 TLS e altri protocolli che incapsulano TLS su porte personalizzate.
Il monitoraggio SSL utilizza crediti aggiuntivi?
No. La stretta di mano TLS e la verifica del certificato avvengono come parte di ogni controllo HTTPS — senza costo aggiuntivo. Anche gli avvisi di scadenza nelle 5 soglie sono gratuiti. I lookup WHOIS per la scadenza dominio sono l'unica funzione aggiuntiva che avviene su una pianificazione giornaliera separata.

Monitoraggio certificato SSL