Cik laicīgi mani vajadzētu brīdināt par SSL beigām?

Standarta brīdinājumu sliekšņi ir 30, 14, 7, 3 un 1 diena pirms sertifikāta beigām. Trīsdesmit dienas ļauj ieplānot atjaunošanu darba laikā; īsāki brīdinājumi pakāpeniski palielina steidzamību. Ja paļaujies uz auto-atjaunošanu (Let's Encrypt ar certbot), 7 dienu brīdinājums ir brīdis, kad jāpārbauda, vai atjaunošana tiešām notika – klusās atjaunošanas kļūmes ir bieži sastopamas un tās uztver tikai neatkarīgs monitorings.

Vai SSL monitorings spēs konstatēt ķēdes problēmas vai hostname neatbilstību?

Jā. Monitors veic īstu TLS handshake un pārbauda piegādāto sertifikātu. Ja sertifikāts ir beidzies, pašparakstīts, CN/SAN neatbilst hostname vai ir parakstījis nezināms CA, pārbaude neizdodas ar specifisku kļūdu. Tas uztver arī tādas problēmas kā "sertifikāts tehniski derīgs, bet nepareizi uzinstalēts", ko pārlūkprogrammas arī atzīmē.

Ko darīt, ja sertifikāts ir derīgs, bet trūkst starpsertifikāta (intermediate CA)?

Trūkstoši starpsertifikāti izraisa "chain incomplete" kļūdu daudzos TLS klientos (curl, vecākas Android ierīces), pat ja desktop pārlūki var automātiski iegūt ķēdi lejupielādei. Mūsu SSL pārbaude prasa pilnu, derīgu ķēdi – ja trūkst starpsertifikāta, pārbaude neizdodas un problēmu redzēsi pirms to pamana mobilie lietotāji.

Vai varu monitorēt SSL uz nestandarta portiem (piem., 8443, e-pasta serveri)?

Jā – konfigurē monitora URL ar portu (piem., https://api.example.com:8443/). Monitors savienojas ar šo portu TLS handshake veikšanai un nolasīs sertifikātu. Tas pats darbojas ar SMTP STARTTLS, IMAP/POP3 TLS un citiem protokoliem, kas izmanto TLS uz pielāgotiem portiem.

Vai SSL monitorings izmanto papildu kredītus?

Nē. TLS handshake un sertifikāta pārbaude notiek kā daļa no katras HTTPS pārbaudes – bez papildu maksas. Brīdinājumi par beigām 5 sliekšņos arī ir bez maksas. WHOIS pieprasījumi domēna beigām ir vienīgā papildu funkcija, kas tiek veidota pēc atsevišķa ikdienas grafika.

SSL sertifikātu uzraudzība — brīdinājumi pēc 30/14/7/3/1 dienas

Beidzies SSL sertifikāts neļaus nevienam pārlūkam pareizi darboties tieši pusnaktī. Novērsiet to laikus — brīdinājumi jau 30+ dienas iepriekš.

SSL sertifikāta nenovērota atjaunošanas cena

SSL sertifikāts, kas beidzas plkst. 23:59:59, nesabrūk pakāpeniski. Plkst. 00:00:00 nākamajā dienā ikviena pārlūkprogramma sāk rādīt pilnekrāna drošības brīdinājumu, katrs API klients nespēj izveidot TLS handshake, katrs webhook integrators atgriež kļūdu, katra meklētājprogramma pazemina tavas pozīcijas, katrs e-pasts tiek atgriezts, ja sertifikāts noseidza arī SMTP. Risinājums ir ātrs – pārizdošana, pārsūtīšana – taču logs starp beigu laiku un problēmas novēršanu ir nežēlīgs, jo neviens nepamana sertifikātu pirms pusnakts, tikai pēc tās.

SSL monitorings eksistē, lai tu pamanītu to pirms pusnakts. Monitors nolasa sertifikātu no dzīva resursdatora, analizē derīguma termiņu un laicīgi brīdina – 30 dienas, 14 dienas, 7 dienas, 3 dienas, 1 diena – tāpēc atjaunošana nekad nav pārsteigums.

Kas tiek monitorēts

Katrai monitorētai HTTPS lapai DiagnoSEO Uptime Monitoring atver TLS savienojumu, satver peera sertifikātu un to analizē. No tā panelis saglabā:

Derīgums: vai sertifikāts pašlaik ir savā derīguma periodā?
Dienas līdz beigām: ritošs skaitlis, parādīts kā krāsaina birka (zaļa >30 dienas, oranža 8-30, sarkana <8).
Beigu datums: precīzs datums.
Izsniedzējs: kas parakstījis sertifikātu (Let's Encrypt, DigiCert, GlobalSign u.c.)
Subject: common name sertifikātā.

Ja sertifikāts kļūst nederīgs – beidzies, nepareizs hostname, bojāta ķēde, pašparakstīts, kad tā tam nevajadzētu būt – monitors ziņo par SSL invalid neatkarīgi no HTTP statusa. Stāvoklis "bojāts HTTPS, bet serveris darbojas" kļūst uzreiz redzams.

Brīdinājumu sliekšņi

Rīks aktivizē SSL brīdinājumus pieci sliekšņos: 30, 14, 7, 3 un 1 diena pirms beigām. Katrs ir atsevišķs brīdinājums. Ja tev ir aktivizēts e-pasts un Telegram, tu saņemsi piecas atgādinājumus, tuvojošajām beigām kļūstot arvien svarīgākām. Pirmais (30 dienas) ir, lai ieplānotu atjaunošanu. 14 dienu brīdinājums – "nē, nopietni, izdariet to šonedēļ". 7, 3 un 1 dienas ir gadījumam, ja atjaunošana nenotika un kādam nekavējoties ir jāreaģē.

Tos var atslēgt pēc kanāla – dažas komandas vēlas SSL brīdinājumus tikai e-pastā, nevis Slack/Telegram (kur tie varētu pazust starp ziņām). Konfigurē to Paziņojumos.

Kāpēc auto-atjaunošana nav pietiekama

Ja izmanto Let's Encrypt ar certbot vai līdzīgu rīku, vari domāt, ka SSL monitorings nav nepieciešams. Tā nav. Auto-atjaunošana var neizdoties daudzos veidos: certbot konta e-pasts kļūst nederīgs, ACME izaicinājumi neizdodas firewall izmaiņu dēļ, atjaunošanas cron pārstāj strādāt, konteineru restartēšana izdzēš atjaunošanas statusu, domēna validācija nenotiek DNS maiņu dēļ. Visos šajos gadījumos sertifikāts tuvojas beigām, un auto-atjaunošana tevi neizglābs. SSL monitorings ir drošības tīkls, kas notver to, ko automatizācija palaidusi garām.

Iekšējiem sertifikātiem (uzņēmuma CA, mutual TLS) parasti auto-atjaunošanas nav vispār – SSL monitorings ir vienīgais proaktīvais signāls, ka nepieciešama atjaunošana.

Konfigurācija

SSL monitorings ir automātiski ieslēgts katram HTTPS monitoram DiagnoSEO Uptime Monitoring sistēmā. Tas nav jāieslēdz atsevišķi. Nākamreiz, kad notiek padziļināta pārbaude (24 stundu laikā pēc monitora pievienošanas vai uzreiz pēc klikšķa "Pārbaudīt tagad"), SSL rindas sadaļa aizpildās ar izsniedzēju, beigu datumu un atlikušajām dienām. No šī brīža monitors uzrauga sertifikātu un ziņo pie 30/14/7/3/1 dienas sliekšņiem.

Monitoriem, kas nav HTTPS, SSL netiek pārbaudīts. Ja monitors ir ar pielāgotu SSL portu, rīks mēģina atbilstošo portu (443 noklusēti; 465 SMTPS, 993 IMAPS u.c. atkarībā no monitora veida).

Biežāk uzdotie jautājumi

Cik laicīgi mani vajadzētu brīdināt par SSL beigām?
Standarta brīdinājumu sliekšņi ir 30, 14, 7, 3 un 1 diena pirms sertifikāta beigām. Trīsdesmit dienas ļauj ieplānot atjaunošanu darba laikā; īsāki brīdinājumi pakāpeniski palielina steidzamību. Ja paļaujies uz auto-atjaunošanu (Let's Encrypt ar certbot), 7 dienu brīdinājums ir brīdis, kad jāpārbauda, vai atjaunošana tiešām notika – klusās atjaunošanas kļūmes ir bieži sastopamas un tās uztver tikai neatkarīgs monitorings.
Vai SSL monitorings spēs konstatēt ķēdes problēmas vai hostname neatbilstību?
Jā. Monitors veic īstu TLS handshake un pārbauda piegādāto sertifikātu. Ja sertifikāts ir beidzies, pašparakstīts, CN/SAN neatbilst hostname vai ir parakstījis nezināms CA, pārbaude neizdodas ar specifisku kļūdu. Tas uztver arī tādas problēmas kā "sertifikāts tehniski derīgs, bet nepareizi uzinstalēts", ko pārlūkprogrammas arī atzīmē.
Ko darīt, ja sertifikāts ir derīgs, bet trūkst starpsertifikāta (intermediate CA)?
Trūkstoši starpsertifikāti izraisa "chain incomplete" kļūdu daudzos TLS klientos (curl, vecākas Android ierīces), pat ja desktop pārlūki var automātiski iegūt ķēdi lejupielādei. Mūsu SSL pārbaude prasa pilnu, derīgu ķēdi – ja trūkst starpsertifikāta, pārbaude neizdodas un problēmu redzēsi pirms to pamana mobilie lietotāji.
Vai varu monitorēt SSL uz nestandarta portiem (piem., 8443, e-pasta serveri)?
Jā – konfigurē monitora URL ar portu (piem., https://api.example.com:8443/). Monitors savienojas ar šo portu TLS handshake veikšanai un nolasīs sertifikātu. Tas pats darbojas ar SMTP STARTTLS, IMAP/POP3 TLS un citiem protokoliem, kas izmanto TLS uz pielāgotiem portiem.
Vai SSL monitorings izmanto papildu kredītus?
Nē. TLS handshake un sertifikāta pārbaude notiek kā daļa no katras HTTPS pārbaudes – bez papildu maksas. Brīdinājumi par beigām 5 sliekšņos arī ir bez maksas. WHOIS pieprasījumi domēna beigām ir vienīgā papildu funkcija, kas tiek veidota pēc atsevišķa ikdienas grafika.

SSL sertifikātu uzraudzība