Kiek iš anksto turėčiau būti įspėtas apie SSL galiojimo pabaigą?

Standartiniai įspėjimo slenksčiai yra 30, 14, 7, 3 ir 1 diena iki galiojimo pabaigos. Trisdešimt dienų leidžia suplanuoti atnaujinimą darbo valandomis; trumpesni įspėjimai didina skubumą. Jei pasitiki automatinio atnaujinimo sprendimu (Let's Encrypt su certbot), 7 dienų įspėjimas yra momentas patikrinti, ar atnaujinimas tikrai įvyko – tylūs atnaujinimų gedimai dažni ir juos aptinka tik nepriklausomas stebėjimas.

Ar SSL stebėjimas aptinka grandinės ar hostname neatitikimus?

Taip. Monitorius atlieka tikrą TLS handshake ir tikrina išduotą sertifikatą. Jei sertifikatas pasibaigęs, self-signed, turi CN/SAN neatitikimą hostui arba pasirašytas nežinomo CA, patikrinimas nesėkmingas su konkrečia klaida. Tai leidžia aptikti problemas „sertifikatas techniškai galioja, tačiau blogai įdiegtas“, kurias naršyklės irgi pažymi.

Ką daryti, jei sertifikatas galioja, bet trūksta tarpinio CA?

Trūkstami tarpiniai sertifikatai daugeliui TLS klientų (curl, senesni Android įrenginiai) sukelia „chain incomplete“ klaidą, net jei desktop naršyklės gali automatiškai atsisiųsti visą grandinę. Mūsų SSL patikra reikalauja pilnos, galiojančios grandinės – jei trūksta tarpinio, patikrinimas nesėkmingas ir problema parodyta dar prieš ją pastebint mobiliesiems naudotojams.

Ar galiu stebėti SSL nestandartiniuose portuose (pvz., 8443, pašto serveriai)?

Taip — sukonfigūruok monitoriaus URL su portu (pvz., https://api.example.com:8443/). Monitorius jungiasi prie šio porto TLS handshake'ui ir nuskaito sertifikatą. Tai veikia taip pat SMTP STARTTLS, IMAP/POP3 TLS ir kituose protokoluose, kurie naudoja TLS nestandartiniuose portuose.

Ar SSL stebėjimas naudoja papildomus kreditus?

Ne. TLS handshake ir sertifikato patikra vyksta kaip kiekvienos HTTPS patikros dalis – be papildomo mokesčio. Galiojimo pabaigos įspėjimai per 5 slenksčius irgi nemokami. WHOIS užklausos dėl domeno galiojimo datos yra vienintelė papildoma funkcija, kuri veikia pagal atskirą dienos grafiką.

SSL sertifikatų stebėsena — įspėjimai prieš 30/14/7/3/1 d.

Pasibaigęs SSL sertifikatas blokuoja visus naršykles pasaulyje lygiai vidurnaktį. Pastebėkite tai likus daugiau nei 30 dienų.

Praleisto SSL atnaujinimo kaina

SSL sertifikatas, kuris baigiasi 23:59:59, nesensta palaipsniui. 00:00:00 kitą dieną kiekviena naršyklė pradeda rodyti viso ekrano saugumo įspėjimą, kiekvienas API klientas sugenda TLS paspaudime, kiekvienas webhook integratorius grąžina klaidą, kiekviena paieškos sistema blogina tavo pozicijas, kiekvienas el. laiškas atšoksta, jei sertifikatas taip pat dengė SMTP. Taisyti greita – perleisti, įdiegti iš naujo – bet langas tarp galiojimo pabaigos ir sprendimo žiaurus, nes niekas nepastebi sertifikato prieš vidurnaktį, tik po jos.

SSL stebėjimas egzistuoja tam, kad tu visgi pastebėtum prieš vidurnaktį. Monitorius nuskaito sertifikatą iš gyvo hosto, išskaito jo galiojimo laikotarpį ir įspėja iš anksto – 30 dienų, 14 dienų, 7 dienos, 3 dienos, 1 diena – tad atnaujinimas niekada nebūna staigmena.

Kas yra stebima

Kiekvienai stebimai HTTPS svetainei DiagnoSEO Uptime Monitoring atidaro TLS jungtį, pagauna "peer" sertifikatą ir jį išskaito. Iš to prietaisų skydelis išsaugo:

Galiojimas: ar sertifikatas šiuo metu galioja?
Dienos iki galiojimo pabaigos: slenkantis skaičius, rodomas kaip spalvota žyma (žalia >30 dienų, oranžinė 8-30, raudona <8).
Galiojimo pabaigos data: tiksli data.
Leidėjas: kas pasirašė sertifikatą (Let's Encrypt, DigiCert, GlobalSign ir pan.)
Subject: bendras vardas sertifikate.

Jei sertifikatas tampa negaliojantis – pasibaigė, neteisingas hosto vardas, sugadinta grandinė, self-signed kai neturėtų būti – monitorius praneša apie SSL invalid nepriklausomai nuo HTTP statuso. Būsena "sugadintas HTTPS, bet serveris veikia" tampa iškart matoma.

Įspėjimo slenksčiai

Įrankis siunčia SSL įspėjimus penkiais slenksčiais: 30, 14, 7, 3 ir 1 diena prieš galiojimo pabaigą. Kiekvienas – atskiras perspėjimas. Jei turi įjungtą el. paštą ir Telegram, gausi penkis priminimus, artėjant galiojimo pabaigai – vis skubesnius. Pirmasis (30 dienų) skirtas planavimui. 14 dienų – „ne, rimtai, padaryk tai šią savaitę“. 7, 3 ir 1 dienos skirti atvejams, kai atnaujinimo neįvyko ir kažkas turi būti nedelsiant įspėtas.

Juos galima išjungti pagal kanalą – kai kurios komandos nori SSL įspėjimų tik el. paštu, ne per Slack/Telegram (kur jie galėtų pasimesti tarp kitų pranešimų). Konfigūruok Powiadomienia nustatymuose.

Kodėl automatinio atnaujinimo nepakanka

Jei naudoji Let's Encrypt su certbot ar panašiu įrankiu, gali pamanyti, kad SSL stebėjimas – nereikalingas. Tai netiesa. Automatinis atnaujinimas gali nesuveikti keliais būdais: certbot paskyros el. pašto adresas tampa neteisingas, ACME iššūkiai nesuveikia dėl ugniasienės taisyklių, atnaujinimo cron neveikia, konteinerio paleidimas iš naujo ištrina atnaujinimo būseną, domeno validacija griūna pakeitus DNS. Visais tokiais atvejais sertifikatas artėja prie pabaigos, o automatinis atnaujinimas tavęs neišgelbės. SSL stebėjimas – saugumo tinklas, pagaunantis tai, ko nepagavo automatika.

Vidiniams sertifikatams (įmonės CA, mutual TLS) dažnai nebūna jokio automatinio atnaujinimo – SSL stebėjimas – vienintelis proaktyvus signalas, kad reikia atnaujinti.

Konfigūracija

SSL stebėjimas įjungtas automatiškai kiekvienam HTTPS monitoriui DiagnoSEO Uptime Monitoring. Įjungti atskirai nereikia. Kitąkart, kai bus vykdomas gilesnis patikrinimas (per 24 valandas nuo monitoriaus pridėjimo arba iškart paspaudus „Patikrinti dabar“), SSL eilutės skiltyje atsiras leidėjas, galiojimo pabaigos data ir likusios dienos. Nuo to momento monitorius prižiūrės sertifikatą ir įspės slenksčiuose 30/14/7/3/1 diena.

Ne HTTPS monitoriams SSL yra praleidžiamas. Monitoriams su nestandartiniu SSL portu įrankis bando tinkamą portą (443 pagal nutylėjimą; 465 SMTPS, 993 IMAPS ir pan. priklausomai nuo monitoriaus tipo).

Dažniausiai užduodami klausimai

Kiek iš anksto turėčiau būti įspėtas apie SSL galiojimo pabaigą?
Standartiniai įspėjimo slenksčiai yra 30, 14, 7, 3 ir 1 diena iki galiojimo pabaigos. Trisdešimt dienų leidžia suplanuoti atnaujinimą darbo valandomis; trumpesni įspėjimai didina skubumą. Jei pasitiki automatinio atnaujinimo sprendimu (Let's Encrypt su certbot), 7 dienų įspėjimas yra momentas patikrinti, ar atnaujinimas tikrai įvyko – tylūs atnaujinimų gedimai dažni ir juos aptinka tik nepriklausomas stebėjimas.
Ar SSL stebėjimas aptinka grandinės ar hostname neatitikimus?
Taip. Monitorius atlieka tikrą TLS handshake ir tikrina išduotą sertifikatą. Jei sertifikatas pasibaigęs, self-signed, turi CN/SAN neatitikimą hostui arba pasirašytas nežinomo CA, patikrinimas nesėkmingas su konkrečia klaida. Tai leidžia aptikti problemas „sertifikatas techniškai galioja, tačiau blogai įdiegtas“, kurias naršyklės irgi pažymi.
Ką daryti, jei sertifikatas galioja, bet trūksta tarpinio CA?
Trūkstami tarpiniai sertifikatai daugeliui TLS klientų (curl, senesni Android įrenginiai) sukelia „chain incomplete“ klaidą, net jei desktop naršyklės gali automatiškai atsisiųsti visą grandinę. Mūsų SSL patikra reikalauja pilnos, galiojančios grandinės – jei trūksta tarpinio, patikrinimas nesėkmingas ir problema parodyta dar prieš ją pastebint mobiliesiems naudotojams.
Ar galiu stebėti SSL nestandartiniuose portuose (pvz., 8443, pašto serveriai)?
Taip — sukonfigūruok monitoriaus URL su portu (pvz., https://api.example.com:8443/). Monitorius jungiasi prie šio porto TLS handshake'ui ir nuskaito sertifikatą. Tai veikia taip pat SMTP STARTTLS, IMAP/POP3 TLS ir kituose protokoluose, kurie naudoja TLS nestandartiniuose portuose.
Ar SSL stebėjimas naudoja papildomus kreditus?
Ne. TLS handshake ir sertifikato patikra vyksta kaip kiekvienos HTTPS patikros dalis – be papildomo mokesčio. Galiojimo pabaigos įspėjimai per 5 slenksčius irgi nemokami. WHOIS užklausos dėl domeno galiojimo datos yra vienintelė papildoma funkcija, kuri veikia pagal atskirą dienos grafiką.

SSL sertifikatų stebėsena