Cu cât timp înainte ar trebui să fiu avertizat despre expirarea SSL?

Pragurile standard de avertizare sunt la 30, 14, 7, 3 și 1 zi înainte de expirare. Treizeci de zile îți lasă timp să planifici reînnoirea în timpul programului de lucru; alertele mai scurte cresc gradul de urgență. Dacă te bazezi pe auto-renewal (Let's Encrypt cu certbot), alerta de 7 zile este momentul să verifici dacă reînnoirea chiar s-a făcut — eșecurile silențioase ale reînnoirii sunt frecvente și doar monitorizarea independentă le detectează.

Monitorizarea SSL detectează probleme de lanț sau neconcordanță de hostname?

Da. Monitorul face un handshake TLS real și verifică certificatul livrat. Dacă certificatul este expirat, self-signed, are neconcordanță CN/SAN cu hostname-ul sau este semnat de o CA necunoscută, verificarea eșuează cu o eroare specifică. Astfel sunt prinse probleme de genul "certificatul este tehnic valid dar instalat greșit" pe care și browserele le marchează.

Ce se întâmplă dacă certificatul este valid dar îi lipsește CA intermediar?

Certificatele intermediare lipsă cauzează eroarea "chain incomplete" în multe clienți TLS (curl, dispozitive Android mai vechi), chiar dacă browserele desktop pot uneori recupera automat lanțul. Verificarea noastră SSL cere lanț complet și valid – dacă lipsește intermediarul, verificarea eșuează și arată problema înainte să o observe utilizatorii de pe mobil.

Pot monitoriza SSL pe porturi personalizate (ex. 8443, servere de email)?

Da — configurează URL-ul monitorului cu portul specific (de ex. https://api.example.com:8443/). Monitorul se conectează la acest port pentru handshake-ul TLS și citește certificatul. Același lucru funcționează pentru SMTP STARTTLS, IMAP/POP3 TLS și alte protocoale care folosesc TLS pe porturi personalizate.

Monitorizarea SSL folosește credite suplimentare?

Nu. Handshake-ul TLS și verificarea certificatului se fac ca parte din fiecare verificare HTTPS — fără cost suplimentar. Alerta de expirare la cele 5 praguri este gratuită. Lookup-urile WHOIS pentru expirarea domeniului sunt singura funcție auxiliară care funcționează pe un program zilnic separat.

Monitorizarea certificatelor SSL — alerte la 30/14/7/3/1 zile

Un certificat SSL expirat blochează orice browser din lume exact la miezul nopții. Prinde-le cu peste 30 de zile înainte.

Costul unui SSL uitat de reînnoit

Un certificat SSL care expiră la 23:59:59 nu se degradează gradual. La 00:00:00 a doua zi, fiecare browser începe să afișeze un avertisment de securitate pe tot ecranul, fiecare client API eșuează la handshake-ul TLS, fiecare integrator de webhook-uri returnează o eroare, fiecare motor de căutare îți scade poziția, fiecare email este respins dacă certificatul acoperea și SMTP-ul. Repararea este rapidă – reemitere, redeploy – dar fereastra dintre expirare și rezolvare este brutală, pentru că nimeni nu observă certificatul înainte de miezul nopții, ci doar după.

Monitorizarea SSL există tocmai pentru a observa înainte de miezul nopții. Monitorul citește certificatul de pe un host activ, analizează perioada de valabilitate și te avertizează din timp – 30 de zile, 14 zile, 7 zile, 3 zile, 1 zi – astfel încât reînnoirea nu te va lua niciodată prin surprindere.

Ce este monitorizat

Pentru fiecare site HTTPS monitorizat, DiagnoSEO Uptime Monitoring deschide o conexiune TLS, obține certificatul peer și îl analizează. Din acest proces, dashboard-ul salvează:

Valabilitate: certificatul este valabil în prezent?
Zile până la expirare: număr actualizat, afișat ca un badge colorat (verde >30 zile, portocaliu 8-30, roșu <8).
Data expirării: data exactă.
Emitent: cine a semnat certificatul (Let's Encrypt, DigiCert, GlobalSign etc.)
Subiect: common name de pe certificat.

Dacă certificatul devine nevalid – a expirat, hostname incorect, lanț defect, self-signed când nu ar trebui – monitorul raportează SSL invalid indiferent de statusul HTTP. Starea „HTTPS defect, dar serverul funcționează” devine vizibilă instantaneu.

Praguri de alertă

Instrumentul declanșează alerte SSL la cinci praguri: 30, 14, 7, 3 și 1 zi înainte de expirare. Fiecare este o alertă separată. Dacă ai activat email și Telegram, vei primi cinci notificări pe măsură ce expirarea se apropie – din ce în ce mai urgente. Prima (30 de zile) este pentru planificare. A doua, cea de 14 zile, pentru „nu, chiar, fă-o săptămâna asta”. Cele de 7, 3 și 1 zi există în caz că reînnoirea nu s-a făcut și cineva trebuie alertat imediat.

Pot fi dezactivate pe canal – unele echipe vor alerte SSL doar pe email, nu pe Slack/Telegram (unde s-ar putea pierde printre multe mesaje). Configurează asta la Notificări.

De ce auto-renewal nu este suficient

Dacă folosești Let's Encrypt cu certbot sau similar, poți crede că monitorizarea SSL nu mai este necesară. Nu este adevărat. Auto-renewal-ul poate eșua în multe moduri: email-ul contului certbot devine invalid, provocările ACME eșuează din cauza unei reguli de firewall, cron-ul pentru reînnoire nu mai funcționează, restartul unui container șterge starea de reînnoire, validarea domeniului eșuează din cauza schimbării DNS. În toate aceste cazuri, certificatul se îndreaptă spre expirare, iar auto-renewal nu te va salva. Monitorizarea SSL este plasa de siguranță care prinde ceea ce automatizarea a ratat.

Pentru certificatele interne (CA de firmă, mutual TLS), de obicei nu există deloc auto-renewal – monitorizarea SSL este singurul semnal proactiv că reînnoirea este necesară.

Configurare

Monitorizarea SSL este automată pentru fiecare monitor HTTPS din DiagnoSEO Uptime Monitoring. Nu trebuie activată separat. Data viitoare când se face o verificare mai profundă (în 24h de la adăugarea monitorului sau imediat după ce apeși „Verifică acum”), secțiunea SSL a rândului se va completa cu emitentul, data expirării și zilele rămase. Din acel moment, monitorul urmărește certificatul și alertează la pragurile 30/14/7/3/1 zi.

Pentru monitori alții decât HTTPS, SSL este ignorat. Pentru monitori cu port SSL personalizat, instrumentul încearcă portul potrivit (443 implicit; 465 pentru SMTPS, 993 pentru IMAPS etc. în funcție de tipul monitorului).

Întrebări frecvente

Cu cât timp înainte ar trebui să fiu avertizat despre expirarea SSL?
Pragurile standard de avertizare sunt la 30, 14, 7, 3 și 1 zi înainte de expirare. Treizeci de zile îți lasă timp să planifici reînnoirea în timpul programului de lucru; alertele mai scurte cresc gradul de urgență. Dacă te bazezi pe auto-renewal (Let's Encrypt cu certbot), alerta de 7 zile este momentul să verifici dacă reînnoirea chiar s-a făcut — eșecurile silențioase ale reînnoirii sunt frecvente și doar monitorizarea independentă le detectează.
Monitorizarea SSL detectează probleme de lanț sau neconcordanță de hostname?
Da. Monitorul face un handshake TLS real și verifică certificatul livrat. Dacă certificatul este expirat, self-signed, are neconcordanță CN/SAN cu hostname-ul sau este semnat de o CA necunoscută, verificarea eșuează cu o eroare specifică. Astfel sunt prinse probleme de genul „certificatul este tehnic valid dar instalat greșit” pe care și browserele le marchează.
Ce se întâmplă dacă certificatul este valid dar îi lipsește CA intermediar?
Certificatele intermediare lipsă cauzează eroarea „chain incomplete” în multe clienți TLS (curl, dispozitive Android mai vechi), chiar dacă browserele desktop pot uneori recupera automat lanțul. Verificarea noastră SSL cere lanț complet și valid – dacă lipsește intermediarul, verificarea eșuează și arată problema înainte să o observe utilizatorii de pe mobil.
Pot monitoriza SSL pe porturi personalizate (ex. 8443, servere de email)?
Da — configurează URL-ul monitorului cu portul specific (de ex. https://api.example.com:8443/). Monitorul se conectează la acest port pentru handshake-ul TLS și citește certificatul. Același lucru funcționează pentru SMTP STARTTLS, IMAP/POP3 TLS și alte protocoale care folosesc TLS pe porturi personalizate.
Monitorizarea SSL folosește credite suplimentare?
Nu. Handshake-ul TLS și verificarea certificatului se fac ca parte din fiecare verificare HTTPS — fără cost suplimentar. Alerta de expirare la cele 5 praguri este gratuită. Lookup-urile WHOIS pentru expirarea domeniului sunt singura funcție auxiliară care funcționează pe un program zilnic separat.

Monitorizarea certificatelor SSL