Z jakim wyprzedzeniem powinienem być ostrzegany przed wygaśnięciem SSL?

Standardowe progi ostrzeżeń to 30, 14, 7, 3 i 1 dzień przed wygaśnięciem. Trzydzieści dni daje czas na planowanie odnowienia w godzinach pracy; krótsze alerty eskalują pilność. Jeśli polegasz na auto-renewal (Let's Encrypt z certbotem), alert 7-dniowy to moment do sprawdzenia czy odnowienie faktycznie się wykonało — ciche awarie odnowień są powszechne i wyłapuje je tylko niezależny monitoring.

Czy monitoring SSL wykryje problemy z łańcuchem lub niezgodnością hostname?

Tak. Monitor wykonuje prawdziwy handshake TLS i sprawdza serwowany certyfikat. Jeśli certyfikat jest wygasły, self-signed, ma niezgodność CN/SAN z hostname lub jest podpisany przez nieznane CA, check zawodzi ze specyficznym błędem. Wyłapuje to problemy typu "certyfikat jest technicznie ważny ale źle zainstalowany" które przeglądarki też flagują.

Co jeśli certyfikat jest ważny ale brakuje pośredniego CA?

Brakujące certyfikaty pośrednie powodują błąd "chain incomplete" w wielu klientach TLS (curl, starsze urządzenia Android) nawet jeśli przeglądarki desktop mogą auto-odzyskiwać pobierając łańcuch. Nasz check SSL wymaga kompletnego, ważnego łańcucha — jeśli brakuje pośredniego, check zawodzi, pokazując problem zanim zauważą go użytkownicy mobile.

Czy mogę monitorować SSL na niestandardowych portach (np. 8443, serwery pocztowe)?

Tak — skonfiguruj URL monitora z portem (np. https://api.example.com:8443/). Monitor łączy się z tym portem do handshake'a TLS i odczytuje certyfikat. To samo działa dla SMTP STARTTLS, IMAP/POP3 TLS i innych protokołów które wrapują TLS na customowych portach.

Czy monitoring SSL używa dodatkowych kredytów?

Nie. Handshake TLS i sprawdzanie certyfikatu dzieje się jako część każdego checka HTTPS — bez osobnego kosztu. Alerty wygaśnięcia na 5 progach też są darmowe. Lookupy WHOIS dla wygaśnięcia domeny to jedyna pomocnicza funkcja która działa na osobnym dziennym harmonogramie.

Monitoring SSL — alerty 30/14/7/3/1 dni

Wygasły certyfikat SSL psuje każdą przeglądarkę na świecie dokładnie o północy. Łap je z 30+ dniowym wyprzedzeniem.

Koszt przegapionego odnowienia SSL

Certyfikat SSL wygasający o 23:59:59 nie degraduje się łagodnie. O 00:00:00 następnego dnia każda przeglądarka zaczyna pokazywać pełnoekranowe ostrzeżenie bezpieczeństwa, każdy klient API zawodzi przy TLS handshake, każdy integrator webhooków zwraca błąd, każda wyszukiwarka degraduje Twoje pozycje, każdy email odbija się, jeśli certyfikat pokrywał też SMTP. Naprawa jest szybka - reissue, redeploy - ale okno między wygaśnięciem a rozwiązaniem jest brutalne, bo nikt nie zauważa certyfikatu przed północą, tylko po niej.

Monitoring SSL istnieje, byś jednak zauważył przed północą. Monitor czyta certyfikat z żywego hosta, parsuje okres ważności i ostrzega z dużym wyprzedzeniem - 30 dni, 14 dni, 7 dni, 3 dni, 1 dzień - więc odnowienie nigdy nie jest niespodzianką.

Co jest monitorowane

Dla każdej monitorowanej strony HTTPS DiagnoSEO Uptime Monitoring otwiera połączenie TLS, łapie certyfikat peera i go parsuje. Z tego dashboard zapisuje:

Ważność: czy certyfikat jest aktualnie w swoim okresie ważności?
Dni do wygaśnięcia: rolling count, wyświetlany jako kolorowa plomba (zielona >30 dni, pomarańczowa 8-30, czerwona <8).
Data wygaśnięcia: dokładna data.
Wystawca: kto podpisał certyfikat (Let's Encrypt, DigiCert, GlobalSign itd.)
Subject: common name na certyfikacie.

Jeśli certyfikat staje się nieważny - wygasł, niepoprawny hostname, popsuty łańcuch, self-signed gdy nie powinien - monitor raportuje SSL invalid niezależnie od statusu HTTP. Stan "popsute HTTPS, ale serwer działa" staje się natychmiast widoczny.

Progi ostrzeżeń

Narzędzie odpala ostrzeżenia SSL na pięciu progach: 30, 14, 7, 3 i 1 dzień przed wygaśnięciem. Każdy to osobny alert. Jeśli masz email i Telegram włączone, dostaniesz pięć przypomnień, jak zbliża się wygaśnięcie - coraz pilniejszych. Pierwszy (30 dni) jest do planowania. 14-dniowy do "nie, naprawdę, zrób to w tym tygodniu". 7, 3 i 1-dniowe istnieją na wypadek, gdy odnowienie się nie odbyło i ktoś musi zostać natychmiast wezwany.

Można je wyłączyć per kanał - niektóre zespoły chcą alertów SSL tylko mailem, nie na Slacku/Telegramie (gdzie mogłyby zniknąć w szumie). Konfiguruj to w Powiadomieniach.

Czemu auto-renewal nie wystarcza

Jeśli używasz Let's Encrypt z certbotem lub podobnym, możesz pomyśleć, że monitoring SSL jest zbędny. Nie jest. Auto-renewal może paść na wiele sposobów: email konta certbota staje się nieprawidłowy, ACME challenges padają przez zmianę reguły firewalla, cron odnowienia przestaje działać, restart kontenera wymazuje stan odnowienia, walidacja domeny pada przez zmianę DNS. We wszystkich tych przypadkach certyfikat zmierza do wygaśnięcia, a auto-renewal Cię nie uratuje. Monitoring SSL to siatka bezpieczeństwa łapiąca to, co automatyzacja przegapiła.

Dla wewnętrznych certów (firmowy CA, mutual TLS) zwykle nie ma auto-renewala wcale - monitoring SSL to jedyny proaktywny sygnał, że odnowienie jest potrzebne.

Konfiguracja

Monitoring SSL jest automatyczny dla każdego monitora HTTPS w DiagnoSEO Uptime Monitoring. Nie trzeba go włączać osobno. Następnym razem gdy odpala się głębsze sprawdzenie (w ciągu 24h od dodania monitora lub natychmiast po kliknięciu "Sprawdź teraz"), sekcja SSL wiersza wypełnia się wystawcą, datą wygaśnięcia i pozostałymi dniami. Od tego momentu monitor pilnuje certyfikatu i alarmuje na progach 30/14/7/3/1 dzień.

Dla monitorów innych niż HTTPS SSL jest pomijany. Dla monitorów z niestandardowym portem SSL narzędzie próbuje pasującego portu (443 domyślnie; 465 dla SMTPS, 993 dla IMAPS itd. zależnie od typu monitora).

Najczęściej zadawane pytania

Z jakim wyprzedzeniem powinienem być ostrzegany przed wygaśnięciem SSL?
Standardowe progi ostrzeżeń to 30, 14, 7, 3 i 1 dzień przed wygaśnięciem. Trzydzieści dni daje czas na planowanie odnowienia w godzinach pracy; krótsze alerty eskalują pilność. Jeśli polegasz na auto-renewal (Let's Encrypt z certbotem), alert 7-dniowy to moment do sprawdzenia czy odnowienie faktycznie się wykonało — ciche awarie odnowień są powszechne i wyłapuje je tylko niezależny monitoring.
Czy monitoring SSL wykryje problemy z łańcuchem lub niezgodnością hostname?
Tak. Monitor wykonuje prawdziwy handshake TLS i sprawdza serwowany certyfikat. Jeśli certyfikat jest wygasły, self-signed, ma niezgodność CN/SAN z hostname lub jest podpisany przez nieznane CA, check zawodzi ze specyficznym błędem. Wyłapuje to problemy typu "certyfikat jest technicznie ważny ale źle zainstalowany" które przeglądarki też flagują.
Co jeśli certyfikat jest ważny ale brakuje pośredniego CA?
Brakujące certyfikaty pośrednie powodują błąd "chain incomplete" w wielu klientach TLS (curl, starsze urządzenia Android) nawet jeśli przeglądarki desktop mogą auto-odzyskiwać pobierając łańcuch. Nasz check SSL wymaga kompletnego, ważnego łańcucha — jeśli brakuje pośredniego, check zawodzi, pokazując problem zanim zauważą go użytkownicy mobile.
Czy mogę monitorować SSL na niestandardowych portach (np. 8443, serwery pocztowe)?
Tak — skonfiguruj URL monitora z portem (np. https://api.example.com:8443/). Monitor łączy się z tym portem do handshake'a TLS i odczytuje certyfikat. To samo działa dla SMTP STARTTLS, IMAP/POP3 TLS i innych protokołów które wrapują TLS na customowych portach.
Czy monitoring SSL używa dodatkowych kredytów?
Nie. Handshake TLS i sprawdzanie certyfikatu dzieje się jako część każdego checka HTTPS — bez osobnego kosztu. Alerty wygaśnięcia na 5 progach też są darmowe. Lookupy WHOIS dla wygaśnięcia domeny to jedyna pomocnicza funkcja która działa na osobnym dziennym harmonogramie.

Monitoring certyfikatu SSL