Hvor lang tid i forveien bør jeg varsles før SSL utløper?

Standard varslingsgrenser er 30, 14, 7, 3 og 1 dag før utløp. Tretti dager gir tid til å planlegge fornyelsen i arbeidstiden; kortere varsler øker alvoret. Hvis du stoler på auto-fornyelse (Let's Encrypt med certbot), er 7-dagersvarselet tidspunktet for å sjekke om fornyelsen faktisk gikk gjennom — stille feil forekommer ofte og fanges bare opp av uavhengig overvåking.

Oppdager SSL-overvåkingen problemer med kjeden eller mismatch i hostname?

Ja. Monitoren gjør en ekte TLS-handshake og kontrollerer det leverte sertifikatet. Hvis sertifikatet er utløpt, self-signed, har CN/SAN mismatch mot hostname, eller er signert av et ukjent CA, feiler sjekken med en spesifikk feil. Dette fanger opp problemer som "sertifikatet er teknisk gyldig, men feil installert", som nettlesere også advarer om.

Hva om sertifikatet er gyldig men mangler mellomliggende CA?

Manglende mellomsertifikater gir "chain incomplete"-feil i mange TLS-klienter (curl, eldre Android-enheter) selv om skrivebordsnettlesere kanskje kan hente kjeden automatisk. Vår SSL-sjekk krever en komplett, gyldig kjede – hvis den mangler mellomledd, feiler sjekken og viser problemet før mobilbrukere merker det.

Kan jeg overvåke SSL på tilpassede porter (f.eks. 8443, mailservere)?

Ja — konfigurer monitorens URL med port (f.eks. https://api.example.com:8443/). Monitoren kobler til denne porten for TLS-handshake og leser ut sertifikatet. Det samme fungerer for SMTP STARTTLS, IMAP/POP3 TLS og andre protokoller som kjører TLS på tilpassede porter.

Bruker SSL-overvåkingen ekstra kreditter?

Nei. TLS-handshaken og sertifikatkontrollen skjer som en del av hver HTTPS-sjekk – uten ekstra kostnad. Varsler om utløp på 5 terskler er også gratis. WHOIS-oppslag for domenets utløp er den eneste støttefunksjonen som kjører på en egen daglig tidsplan.

Overvåkning av SSL-sertifikat — varsler 30/14/7/3/1 dager

Et utløpt SSL-sertifikat blokkerer alle nettlesere i verden presis ved midnatt. Oppdag dem med over 30 dagers margin.

Kostnaden ved å miste SSL-fornyelsen

Et SSL-sertifikat som utløper kl. 23:59:59 degraderes ikke gradvis. Kl. 00:00:00 neste dag begynner enhver nettleser å vise en fullskjerms sikkerhetsadvarsel, alle API-klienter feiler under TLS handshake, alle webhook-integrasjoner returnerer feil, alle søkemotorer degraderer rangeringen din, og alle e-poster blir avvist hvis sertifikatet også dekket SMTP. Reparasjonen er rask – reissue, redeploy – men vinduet mellom utløp og løsning er brutalt, fordi ingen legger merke til sertifikatet før midnatt, bare etterpå.

SSL-overvåking eksisterer for at du faktisk skal oppdage det før midnatt. Monitoren leser sertifikatet fra den levende verten, parser gyldighetsperioden og varsler i god tid – 30 dager, 14 dager, 7 dager, 3 dager, 1 dag – så fornyelsen kommer aldri som en overraskelse.

Hva som overvåkes

For hver overvåket HTTPS-side åpner DiagnoSEO Uptime Monitoring en TLS-tilkobling, fanger opp peer-sertifikatet og parser det. Fra dette lagrer dashbordet:

Gyldighet: Er sertifikatet for øyeblikket innenfor sin gyldighetsperiode?
Dager til utløp: rullerende telling, vist som en farget etikett (grønn >30 dager, oransje 8-30, rød <8).
Utløpsdato: eksakt dato.
Utsteder: hvem har signert sertifikatet (Let's Encrypt, DigiCert, GlobalSign osv.)
Subject: common name på sertifikatet.

Hvis sertifikatet blir ugyldig – utløpt, feil hostname, ødelagt kjede, self-signed når det ikke skal være det – rapporterer monitoren SSL invalid uavhengig av HTTP-status. Tilstanden "ødelagt HTTPS, men serveren kjører" blir umiddelbart synlig.

Varslingsgrenser

Verktøyet utløser SSL-varsler på fem terskler: 30, 14, 7, 3 og 1 dag før utløp. Hver er et eget varsel. Hvis du har e-post og Telegram aktivert, mottar du fem påminnelser når utløpet nærmer seg – stadig mer presserende. Den første (30 dager) er for planlegging. 14-dagersvarselet er for "nei, virkelig, gjør det denne uken". 7, 3 og 1-dagersvarsel eksisterer for tilfeller der fornyelsen ikke fant sted og noen må varsles umiddelbart.

Disse kan deaktiveres per kanal – noen team ønsker bare SSL-varsler på e-post, ikke på Slack/Telegram (der de fort kan drukne i støy). Konfigurer dette i Varsler.

Hvorfor auto-fornyelse ikke er nok

Hvis du bruker Let's Encrypt med certbot eller lignende, kan du tro at SSL-overvåking er overflødig. Det er det ikke. Auto-fornyelse kan feile på mange måter: e-postadressen til certbot-kontoen blir ugyldig, ACME-challenges feiler på grunn av endret brannmurregel, cron for fornyelse slutter å virke, container-restart sletter fornyelsesstatus, domenesjekk feiler ved DNS-endring. I alle disse tilfellene er sertifikatet på vei til å utløpe, og auto-fornyelsen vil ikke redde deg. SSL-overvåking er sikkerhetsnettet som fanger det automatikken overser.

For interne sertifikater (bedriftens CA, mutual TLS) finnes det som oftest ingen auto-fornyelse i det hele tatt – SSL-overvåking er det eneste proaktive signalet om at fornyelse er nødvendig.

Konfigurasjon

SSL-overvåking er automatisk for alle HTTPS-monitorer i DiagnoSEO Uptime Monitoring. Du trenger ikke slå den på separat. Neste gang det kjøres en dypere sjekk (innen 24 timer etter at monitoren er lagt til eller umiddelbart etter å ha klikket "Sjekk nå"), fylles SSL-feltene i raden ut med utsteder, utløpsdato og gjenstående dager. Fra dette tidspunktet overvåkes sertifikatet og det sendes varsler på tersklene 30/14/7/3/1 dag.

For monitorer som ikke er HTTPS, blir SSL hoppet over. For monitorer med tilpasset SSL-port prøver verktøyet en passende port (443 som standard; 465 for SMTPS, 993 for IMAPS osv. avhengig av monitortypen).

Ofte stilte spørsmål

Hvor lang tid i forveien bør jeg varsles før SSL utløper?
Standard varslingsgrenser er 30, 14, 7, 3 og 1 dag før utløp. Tretti dager gir tid til å planlegge fornyelsen i arbeidstiden; kortere varsler øker alvoret. Hvis du stoler på auto-fornyelse (Let's Encrypt med certbot), er 7-dagersvarselet tidspunktet for å sjekke om fornyelsen faktisk gikk gjennom — stille feil forekommer ofte og fanges bare opp av uavhengig overvåking.
Oppdager SSL-overvåkingen problemer med kjeden eller mismatch i hostname?
Ja. Monitoren gjør en ekte TLS-handshake og kontrollerer det leverte sertifikatet. Hvis sertifikatet er utløpt, self-signed, har CN/SAN mismatch mot hostname, eller er signert av et ukjent CA, feiler sjekken med en spesifikk feil. Dette fanger opp problemer som "sertifikatet er teknisk gyldig, men feil installert", som nettlesere også advarer om.
Hva om sertifikatet er gyldig men mangler mellomliggende CA?
Manglende mellomsertifikater gir "chain incomplete"-feil i mange TLS-klienter (curl, eldre Android-enheter) selv om skrivebordsnettlesere kanskje kan hente kjeden automatisk. Vår SSL-sjekk krever en komplett, gyldig kjede – hvis den mangler mellomledd, feiler sjekken og viser problemet før mobilbrukere merker det.
Kan jeg overvåke SSL på tilpassede porter (f.eks. 8443, mailservere)?
Ja — konfigurer monitorens URL med port (f.eks. https://api.example.com:8443/). Monitoren kobler til denne porten for TLS-handshake og leser ut sertifikatet. Det samme fungerer for SMTP STARTTLS, IMAP/POP3 TLS og andre protokoller som kjører TLS på tilpassede porter.
Bruker SSL-overvåkingen ekstra kreditter?
Nei. TLS-handshaken og sertifikatkontrollen skjer som en del av hver HTTPS-sjekk – uten ekstra kostnad. Varsler om utløp på 5 terskler er også gratis. WHOIS-oppslag for domenets utløp er den eneste støttefunksjonen som kjører på en egen daglig tidsplan.

Overvåkning av SSL-sertifikat