Met hoeveel dagen vooraf moet ik worden gewaarschuwd voor een verlopen SSL?

De standaard waarschuwingsdrempels zijn 30, 14, 7, 3 en 1 dag vóór het verlopen. Dertig dagen geeft tijd om vernieuwing tijdens werktijd te plannen; kortere alerts verhogen de urgentie. Als je vertrouwt op auto-renewal (Let's Encrypt met certbot), is de 7-dagen-alert het moment om te controleren of de vernieuwing daadwerkelijk is gelukt — onopgemerkte renewal-fouten komen vaak voor en alleen onafhankelijke monitoring pikt ze op.

Detecteert SSL-bewaking kettingproblemen of hostname-mismatches?

Ja. De monitor voert een echte TLS-handshake uit en controleert het aangeleverde certificaat. Is het certificaat verlopen, self-signed, is er CN/SAN-mismatch met de hostnaam, of ondertekend door een onbekende CA, dan faalt de check met een specifieke foutmelding. Zo worden problemen ontdekt als “technisch geldig maar verkeerd geïnstalleerd”, zoals browsers die ook markeren.

Wat als mijn certificaat geldig is maar een intermediate CA ontbreekt?

Ontbrekende intermediate-certificaten geven een “keten onvolledig”-fout bij veel TLS-clients (curl, oudere Android-apparaten), zelfs als desktopbrowsers de keten alsnog automatisch kunnen ophalen. Onze SSL-check vereist een complete, geldige keten – ontbreekt er een intermediate, dan faalt de check en zie je het probleem vóór mobiele gebruikers het merken.

Kan ik SSL bewaken op custom poorten (zoals 8443, mailservers)?

Ja — configureer de monitor-URL met poort (bijv. https://api.example.com:8443/). De monitor maakt verbinding op die poort voor de TLS-handshake en leest het certificaat uit. Dit werkt ook voor SMTP STARTTLS, IMAP/POP3 TLS en andere protocollen die TLS op een custom poort gebruiken.

Gebruikt SSL-bewaking extra credits?

Nee. TLS-handshake en certificaatcontrole zijn onderdeel van elke HTTPS-check – zonder aparte kosten. Verloopwaarschuwingen op 5 drempels zijn ook gratis. WHOIS-lookups voor domeinvervaldatum zijn de enige extra dienst die op een aparte dagelijkse planning draait.

SSL-certificaatbewaking — waarschuwingen na 30/14/7/3/1 dagen

Een verlopen SSL-certificaat zorgt ervoor dat elke browser ter wereld precies om middernacht faalt. Voorkom dit met meer dan 30 dagen speling.

Kosten van een gemiste SSL-vernieuwing

Een SSL-certificaat dat afloopt om 23:59:59 degradeert niet geleidelijk. Om 00:00:00 de volgende dag toont elke browser een schermvullende beveiligingswaarschuwing, elke API-client faalt bij de TLS-handshake, elke webhook-integratie geeft een foutmelding en elke zoekmachine verlaagt je posities. Elke e-mail stuitert terug als het certificaat ook SMTP dekt. Het herstel is snel – opnieuw uitgeven, opnieuw uitrollen – maar het venster tussen verlopen en oplossen is genadeloos, omdat niemand het certificaat voor middernacht opmerkt, alleen erna.

SSL-bewaking bestaat zodat je het wél voor middernacht ziet. De monitor leest het certificaat van de live host, parseert de geldigheidsperiode en waarschuwt ruim van tevoren – 30 dagen, 14 dagen, 7 dagen, 3 dagen, 1 dag – zodat vernieuwing nooit een verrassing is.

Wat wordt gecontroleerd

Voor elke gecontroleerde HTTPS-site opent DiagnoSEO Uptime Monitoring een TLS-verbinding, haalt het peer-certificaat op en parseert deze. In het dashboard registreert het:

Geldigheid: is het certificaat op dit moment geldig?
Dagen tot verlopen: rollend aantal, getoond als gekleurde badge (groen >30 dagen, oranje 8-30, rood <8).
Vervaldatum: de exacte datum.
Uitgever: wie het certificaat heeft ondertekend (Let's Encrypt, DigiCert, GlobalSign, enz.)
Subject: common name op het certificaat.

Als het certificaat ongeldig wordt – verlopen, onjuiste hostnaam, gebroken keten, self-signed als dat niet hoort – rapporteert de monitor SSL invalid los van de HTTP-status. De situatie “HTTPS stuk, maar server werkt” wordt direct zichtbaar.

Waarschuwingsdrempels

De tool triggert SSL-waarschuwingen op vijf drempels: 30, 14, 7, 3 en 1 dag vóór het verlopen. Elk is een aparte alert. Als je zowel e-mail als Telegram hebt ingeschakeld, ontvang je vijf herinneringen naarmate het verlopen nadert – steeds dringendere. De eerste (30 dagen) is voor planning. De 14-dagen-alert is “nee, echt, doe het deze week”. Alerts bij 7, 3 en 1 dag zijn bedoeld voor als vernieuwing tóch niet heeft plaatsgevonden en iemand direct in actie moet komen.

Deze zijn per kanaal uit te schakelen: sommige teams willen SSL-alerts alleen per e-mail, niet op Slack/Telegram (waar ze kunnen verdwijnen in het lawaai). Stel dit in bij Meldingen.

Waarom auto-renewal niet genoeg is

Als je Let's Encrypt met certbot of vergelijkbaars gebruikt, denk je misschien dat SSL-bewaking overbodig is. Dat is het niet. Auto-renewal kan op veel manieren misgaan: het e-mailadres van het certbot-account wordt ongeldig; ACME-challenges falen door een gewijzigde firewallregel; de cronjob voor vernieuwing stopt; een container-restart wist de status van de vernieuwing; domeinvalidatie faalt door DNS-wijziging. In al die gevallen verloopt het certificaat alsnog en redt auto-renewal je niet. SSL-bewaking is het vangnet dat oppikt wat automatisering mist.

Voor interne certificaten (bedrijfs-CA, mutual TLS) is er meestal helemaal geen auto-renewal – SSL-bewaking is dan het enige proactieve signaal dat vernieuwing nodig is.

Configuratie

SSL-bewaking is automatisch voor elke HTTPS-monitor in DiagnoSEO Uptime Monitoring. Je hoeft het niet apart in te schakelen. De volgende keer dat een diepere check plaatsvindt (binnen 24 uur na het toevoegen van de monitor of direct na klikken op “Nu controleren”), vult de SSL-sectie van de rij zich met uitgever, vervaldatum en resterende dagen. Vanaf dat moment bewaakt de monitor het certificaat en waarschuwt op de drempels 30/14/7/3/1 dag.

Voor andere monitoring dan HTTPS wordt SSL overgeslagen. Voor monitors met een custom SSL-poort probeert de tool de passende poort (443 standaard; 465 voor SMTPS, 993 voor IMAPS, enz. afhankelijk van het monitortype).

Veelgestelde vragen

Met hoeveel dagen vooraf moet ik worden gewaarschuwd voor een verlopen SSL?
De standaard waarschuwingsdrempels zijn 30, 14, 7, 3 en 1 dag vóór het verlopen. Dertig dagen geeft tijd om vernieuwing tijdens werktijd te plannen; kortere alerts verhogen de urgentie. Als je vertrouwt op auto-renewal (Let's Encrypt met certbot), is de 7-dagen-alert het moment om te controleren of de vernieuwing daadwerkelijk is gelukt — onopgemerkte renewal-fouten komen vaak voor en alleen onafhankelijke monitoring pikt ze op.
Detecteert SSL-bewaking kettingproblemen of hostname-mismatches?
Ja. De monitor voert een echte TLS-handshake uit en controleert het aangeleverde certificaat. Is het certificaat verlopen, self-signed, is er CN/SAN-mismatch met de hostnaam, of ondertekend door een onbekende CA, dan faalt de check met een specifieke foutmelding. Zo worden problemen ontdekt als “technisch geldig maar verkeerd geïnstalleerd”, zoals browsers die ook markeren.
Wat als mijn certificaat geldig is maar een intermediate CA ontbreekt?
Ontbrekende intermediate-certificaten geven een “keten onvolledig”-fout bij veel TLS-clients (curl, oudere Android-apparaten), zelfs als desktopbrowsers de keten alsnog automatisch kunnen ophalen. Onze SSL-check vereist een complete, geldige keten – ontbreekt er een intermediate, dan faalt de check en zie je het probleem vóór mobiele gebruikers het merken.
Kan ik SSL bewaken op custom poorten (zoals 8443, mailservers)?
Ja — configureer de monitor-URL met poort (bijv. https://api.example.com:8443/). De monitor maakt verbinding op die poort voor de TLS-handshake en leest het certificaat uit. Dit werkt ook voor SMTP STARTTLS, IMAP/POP3 TLS en andere protocollen die TLS op een custom poort gebruiken.
Gebruikt SSL-bewaking extra credits?
Nee. TLS-handshake en certificaatcontrole zijn onderdeel van elke HTTPS-check – zonder aparte kosten. Verloopwaarschuwingen op 5 drempels zijn ook gratis. WHOIS-lookups voor domeinvervaldatum zijn de enige extra dienst die op een aparte dagelijkse planning draait.

SSL-certificaatbewaking