Com que antecedência devo ser alertado antes da expiração do SSL?

Os limiares padrão de alerta são 30, 14, 7, 3 e 1 dia antes da expiração. Trinta dias dá tempo para planear a renovação em horário laboral; os alertas mais curtos aumentam a urgência. Se dependes da renovação automática (Let's Encrypt com certbot), o alerta de 7 dias é o momento para verificar se a renovação foi mesmo feita — falhas silenciosas são comuns e só uma monitorização independente as deteta.

A monitorização SSL deteta problemas na cadeia ou incompatibilidade do hostname?

Sim. O monitor executa um handshake TLS real e verifica o certificado apresentado. Se o certificado estiver expirado, self-signed, tiver incompatibilidade CN/SAN com o hostname ou for assinado por uma CA desconhecida, o teste falha com um erro específico. Isto apanha problemas como "o certificado é tecnicamente válido mas está mal instalado", que também são sinalizados pelos navegadores.

E se o certificado for válido mas faltar um CA intermediário?

Certificados intermédios em falta provocam o erro "cadeia incompleta" em muitos clientes TLS (curl, dispositivos Android mais antigos) mesmo que os navegadores desktop possam recuperar a cadeia automaticamente. O nosso teste SSL exige uma cadeia completa e válida – se faltar um intermédio, o teste falha, mostrando o problema antes que utilizadores mobile o detetem.

Posso monitorizar o SSL em portas personalizadas (ex: 8443, servidores de email)?

Sim — configura o URL do monitor com a porta (ex: https://api.example.com:8443/). O monitor liga-se a essa porta para o handshake TLS e lê o certificado. O mesmo funciona para SMTP STARTTLS, IMAP/POP3 TLS e outros protocolos que envolvem TLS em portas personalizadas.

A monitorização SSL utiliza créditos adicionais?

Não. O handshake TLS e a verificação do certificado acontecem como parte de cada teste HTTPS — sem custo adicional. Os alertas de expiração nos 5 limiares também são gratuitos. As consultas WHOIS para expiração de domínio são a única funcionalidade auxiliar que corre com um agendamento diário separado.

Monitoramento de certificado SSL — alertas em 30/14/7/3/1 dias

Um certificado SSL expirado impede o funcionamento de todos os navegadores do mundo exatamente à meia-noite. Identifique-os com mais de 30 dias de antecedência.

Custo da renovação SSL esquecida

O certificado SSL que expira às 23:59:59 não se degrada gradualmente. Às 00:00:00 do dia seguinte, cada navegador começa a exibir um aviso de segurança em ecrã inteiro, cada cliente de API falha ao fazer o handshake TLS, cada integrador de webhook devolve um erro, cada motor de pesquisa penaliza as tuas posições, cada email é devolvido se o certificado cobria igualmente o SMTP. A reparação é rápida – reemissão, reinstalação – mas a janela entre a expiração e a resolução é brutal, porque ninguém repara no certificado antes da meia-noite, apenas depois.

A monitorização SSL existe para que percebas antes da meia-noite. O monitor lê o certificado do host em direto, analisa a validade e alerta com bastante antecedência – 30 dias, 14 dias, 7 dias, 3 dias, 1 dia – por isso a renovação nunca chega como surpresa.

O que é monitorizado

Para cada site HTTPS monitorizado, o DiagnoSEO Uptime Monitoring abre uma ligação TLS, recolhe o certificado do peer e faz a sua análise. A partir disto, o dashboard regista:

Validade: o certificado está atualmente dentro do seu período de validade?
Dias para expirar: contador decrescente, apresentado como selo colorido (verde >30 dias, laranja 8-30, vermelho <8).
Data de expiração: a data exata.
Emissor: quem assinou o certificado (Let's Encrypt, DigiCert, GlobalSign, etc.)
Subject: common name no certificado.

Se o certificado se tornar inválido – expirado, hostname incorreto, cadeia danificada, self-signed quando não deve – o monitor reporta o SSL como inválido independentemente do estado HTTP. O estado "HTTPS com problemas, mas servidor funcional" torna-se imediatamente visível.

Limiar de alertas

A ferramenta dispara alertas SSL em cinco limiares: 30, 14, 7, 3 e 1 dia antes da expiração. Cada um é um alerta separado. Se tens email e Telegram ativados, recebes cinco lembretes à medida que a expiração se aproxima – cada vez mais urgentes. O primeiro (30 dias) serve para planeamento. O de 14 dias para "não, a sério, faz isto esta semana". Os de 7, 3 e 1 dias existem para o caso de a renovação ainda não ter sido feita e alguém ter de ser chamado imediatamente.

Podes desativá-los por canal – algumas equipas querem alertas SSL só por email, não por Slack/Telegram (onde poderiam perder-se no ruído). Configura isto nas Notificações.

Porque é que a renovação automática não chega

Se usares Let's Encrypt com o certbot ou semelhante, podes achar que a monitorização SSL é redundante. Não é. A renovação automática pode falhar de muitas formas: email da conta do certbot torna-se inválido, ACME challenges falham devido a uma alteração nas regras do firewall, cron da renovação deixa de funcionar, reinício do container apaga o estado de renovação, validação do domínio falha por mudança de DNS. Em todos estes casos, o certificado caminha para a expiração e a automatização não te irá salvar. O monitor SSL é a rede de segurança para o que a automação falha.

Para certificados internos (CA Empresarial, mutual TLS) normalmente não existe renovação automática – o monitor SSL é o único sinal proativo de que é preciso renovar.

Configuração

A monitorização SSL é automática para cada monitor HTTPS no DiagnoSEO Uptime Monitoring. Não é necessário ativá-la em separado. Da próxima vez que for feito um teste aprofundado (até 24h após adicionar o monitor ou imediatamente após clicar "Verificar agora"), a secção SSL da linha preenche-se com o emissor, data de expiração e dias restantes. A partir desse momento, o monitor vigia o certificado e alerta nos limiares de 30/14/7/3/1 dia.

Para monitores que não sejam HTTPS, o SSL é ignorado. Para monitores com porta SSL personalizada, a ferramenta tenta a porta correspondente (443 por defeito; 465 para SMTPS, 993 para IMAPS, etc. conforme o tipo de monitor).

Perguntas Frequentes

Com que antecedência devo ser alertado antes da expiração do SSL?
Os limiares padrão de alerta são 30, 14, 7, 3 e 1 dia antes da expiração. Trinta dias dá tempo para planear a renovação em horário laboral; os alertas mais curtos aumentam a urgência. Se dependes da renovação automática (Let's Encrypt com certbot), o alerta de 7 dias é o momento para verificar se a renovação foi mesmo feita — falhas silenciosas são comuns e só uma monitorização independente as deteta.
A monitorização SSL deteta problemas na cadeia ou incompatibilidade do hostname?
Sim. O monitor executa um handshake TLS real e verifica o certificado apresentado. Se o certificado estiver expirado, self-signed, tiver incompatibilidade CN/SAN com o hostname ou for assinado por uma CA desconhecida, o teste falha com um erro específico. Isto apanha problemas como "o certificado é tecnicamente válido mas está mal instalado", que também são sinalizados pelos navegadores.
E se o certificado for válido mas faltar um CA intermediário?
Certificados intermédios em falta provocam o erro "cadeia incompleta" em muitos clientes TLS (curl, dispositivos Android mais antigos) mesmo que os navegadores desktop possam recuperar a cadeia automaticamente. O nosso teste SSL exige uma cadeia completa e válida – se faltar um intermédio, o teste falha, mostrando o problema antes que utilizadores mobile o detetem.
Posso monitorizar o SSL em portas personalizadas (ex: 8443, servidores de email)?
Sim — configura o URL do monitor com a porta (ex: https://api.example.com:8443/). O monitor liga-se a essa porta para o handshake TLS e lê o certificado. O mesmo funciona para SMTP STARTTLS, IMAP/POP3 TLS e outros protocolos que envolvem TLS em portas personalizadas.
A monitorização SSL utiliza créditos adicionais?
Não. O handshake TLS e a verificação do certificado acontecem como parte de cada teste HTTPS — sem custo adicional. Os alertas de expiração nos 5 limiares também são gratuitos. As consultas WHOIS para expiração de domínio são a única funcionalidade auxiliar que corre com um agendamento diário separado.

Monitoramento de certificado SSL