S akým predstihom by som mal byť varovaný pred vypršaním SSL?

Štandardné prahy varovaní sú 30, 14, 7, 3 a 1 deň pred vypršaním. Tridsať dní umožní naplánovať obnovenie počas pracovných hodín; kratšie alarmy stupňujú naliehavosť. Ak sa spoliehaš na auto-obnovenie (Let's Encrypt s certbotom), 7-dňový alert je čas na skontrolovanie, či sa obnovenie naozaj vykonalo – tiché zlyhania sú bežné a rozpozná ich len nezávislý monitoring.

Zistí monitoring SSL problémy s reťazcom alebo nezhodou hostname?

Áno. Monitor vykoná skutočný TLS handshake a skontroluje servírovaný certifikát. Ak je certifikát expirovaný, self-signed, má nezhodu CN/SAN s hostname alebo je podpísaný neznámou CA, kontrola zlyhá so špecifickou chybou. Zachytáva to problémy typu "certifikát je technicky platný, ale zle nainštalovaný", ktoré signalizujú aj prehliadače.

Čo ak je certifikát platný, ale chýba medzistupeň CA?

Chýbajúce medzicertifikáty spôsobujú chybu "chain incomplete" u mnohých TLS klientov (curl, staršie Android zariadenia) aj keď desktopové prehliadače môžu automaticky reťazec doplniť. Náš SSL check vyžaduje úplný a platný reťazec – ak chýba medzistupeň, kontrola zlyhá a problém je odhalený skôr, než ho zistia mobilní používatelia.

Môžem monitorovať SSL na neštandardných portoch (napr. 8443, poštové servery)?

Áno – nastav v URL monitora port (napr. https://api.example.com:8443/). Monitor sa pripojí práve na tento port, vykoná TLS handshake a načíta certifikát. Toto funguje aj pre SMTP STARTTLS, IMAP/POP3 TLS a iné protokoly, ktoré používajú TLS na vlastných portoch.

Používa monitoring SSL ďalšie kredity?

Nie. TLS handshake a kontrola certifikátu prebieha ako súčasť každého HTTPS checku – bez dodatočných nákladov. Varovania pred expiráciou na 5 prahoch sú takisto zadarmo. WHOIS lookupy pre expirácie domény sú jedinou pomocnou funkciou, ktorá beží v oddelenom dennom rozvrhu.

Monitorovanie SSL certifikátu — upozornenia 30/14/7/3/1 dní

Expirovaný SSL certifikát znefunkční každý prehliadač na svete presne o polnoci. Zachyťte ich s viac ako 30-dňovým predstihom.

Náklady na zmeškané obnovenie SSL

SSL certifikát, ktorý vyprší o 23:59:59, sa nezhoršuje postupne. O 00:00:00 nasledujúceho dňa každý prehliadač začne zobrazovať celoobrazovkové bezpečnostné varovanie, každý API klient zlyhá pri TLS handshaku, každý integrátor webhookov vráti chybu, každý vyhľadávač zníži tvoje pozície, každý email bude odrátený, ak certifikát pokrýval aj SMTP. Oprava je rýchla – nové vydanie, redeploy – ale okno medzi expiráciou a vyriešením je kruté, pretože nikto si certifikát nevšimne pred polnocou, iba po nej.

Monitoring SSL existuje na to, aby si si certifikát všimol pred polnocou. Monitor číta certifikát z aktívneho hostiteľa, parsuje dobu platnosti a včas upozorní – 30 dní, 14 dní, 7 dní, 3 dni, 1 deň – takže obnovenie už nikdy nebude prekvapením.

Čo sa monitoruje

Pre každú monitorovanú HTTPS stránku DiagnoSEO Uptime Monitoring otvára TLS spojenie, zachytí peer certifikát a rozparsuje ho. Z toho dashboard zaznamenáva:

Platnosť: je certifikát aktuálne v platnej dobe?
Dni do expirácie: bežné odpočítavanie, zobrazené ako farebná značka (zelená >30 dní, oranžová 8-30, červená <8).
Dátum expirácie: presný dátum.
Vydavateľ: kto podpísal certifikát (Let's Encrypt, DigiCert, GlobalSign a pod.)
Subject: common name na certifikáte.

Ak sa certifikát stane neplatným – expirovaný, nesprávny hostname, rozbitý reťazec, self-signed keď by nemal byť – monitor hlási neplatné SSL nezávisle od HTTP statusu. Stav "pokazené HTTPS, ale server funguje" sa okamžite zviditeľní.

Priehody varovaní

Nástroj spúšťa SSL varovania na piatich úrovniach: 30, 14, 7, 3 a 1 deň pred vypršaním. Každé je samostatný alarm. Ak máš zapnutý email aj Telegram, dostaneš päť pripomenutí, keď sa blíži expirácie – čoraz naliehavejších. Prvé (30 dní) je na plánovanie. 14-dňové je na "nie, naozaj, urob to tento týždeň". 7, 3 a 1-dňové existujú pre prípad, že obnovenie sa ešte neuskutočnilo a niekto musí byť okamžite varovaný.

Varovania môžeš vypnúť pre každý kanál – niektoré tímy chcú SSL alerty len emailom, nie cez Slack/Telegram (kde by mohli zaniknúť v šume). Nastav to v Notifikáciách.

Prečo auto-obnovenie nestačí

Ak používaš Let's Encrypt s certbotom alebo podobným riešením, môžeš si myslieť, že monitoring SSL je zbytočný. Nie je. Auto-obnovenie môže zlyhať na veľa spôsobov: email účtu certbotu sa stane neplatným, ACME výzvy zlyhajú kvôli zmene firewall pravidiel, cron na obnovenie prestane fungovať, reštart kontajnera vymaže stav obnovenia, doménová validácia zlyhá po zmene DNS. Vo všetkých prípadoch certifikát smeruje k expirácii a auto-obnova ťa nezachráni. Monitoring SSL je bezpečnostná sieť, ktorá zachytáva to, čo automatizácia prehliadne.

Pre interné certifikáty (firemná CA, mutual TLS) často žiadne auto-obnovenie vôbec neexistuje – monitoring SSL je jediný proaktívny signál, že je potrebné obnoviť certifikát.

Konfigurácia

Monitoring SSL je automatický pre každý HTTPS monitor v DiagnoSEO Uptime Monitoring. Nie je ho potrebné zapínať zvlášť. Pri najbližšom hlbšom checku (do 24h od pridania monitora alebo ihneď po kliknutí na „Skontrolovať teraz“) sa sekcia SSL v riadku vyplní vydavateľom, dátumom expirácie aj počtom zostávajúcich dní. Od toho momentu monitor sleduje certifikát a alarmuje na prahoch 30/14/7/3/1 deň.

Pre monitory, ktoré nie sú HTTPS, sa SSL ignoruje. Pre monitory s vlastným SSL portom nástroj skúsi vhodný port (443 štandardne; 465 pre SMTPS, 993 pre IMAPS a pod. podľa typu monitora).

Najčastejšie otázky

S akým predstihom by som mal byť varovaný pred vypršaním SSL?
Štandardné prahy varovaní sú 30, 14, 7, 3 a 1 deň pred vypršaním. Tridsať dní umožní naplánovať obnovenie počas pracovných hodín; kratšie alarmy stupňujú naliehavosť. Ak sa spoliehaš na auto-obnovenie (Let's Encrypt s certbotom), 7-dňový alert je čas na skontrolovanie, či sa obnovenie naozaj vykonalo – tiché zlyhania sú bežné a rozpozná ich len nezávislý monitoring.
Zistí monitoring SSL problémy s reťazcom alebo nezhodou hostname?
Áno. Monitor vykoná skutočný TLS handshake a skontroluje servírovaný certifikát. Ak je certifikát expirovaný, self-signed, má nezhodu CN/SAN s hostname alebo je podpísaný neznámou CA, kontrola zlyhá so špecifickou chybou. Zachytáva to problémy typu „certifikát je technicky platný, ale zle nainštalovaný“, ktoré signalizujú aj prehliadače.
Čo ak je certifikát platný, ale chýba medzistupeň CA?
Chýbajúce medzicertifikáty spôsobujú chybu "chain incomplete" u mnohých TLS klientov (curl, staršie Android zariadenia) aj keď desktopové prehliadače môžu automaticky reťazec doplniť. Náš SSL check vyžaduje úplný a platný reťazec – ak chýba medzistupeň, kontrola zlyhá a problém je odhalený skôr, než ho zistia mobilní používatelia.
Môžem monitorovať SSL na neštandardných portoch (napr. 8443, poštové servery)?
Áno – nastav v URL monitora port (napr. https://api.example.com:8443/). Monitor sa pripojí práve na tento port, vykoná TLS handshake a načíta certifikát. Toto funguje aj pre SMTP STARTTLS, IMAP/POP3 TLS a iné protokoly, ktoré používajú TLS na vlastných portoch.
Používa monitoring SSL ďalšie kredity?
Nie. TLS handshake a kontrola certifikátu prebieha ako súčasť každého HTTPS checku – bez dodatočných nákladov. Varovania pred expiráciou na 5 prahoch sú takisto zadarmo. WHOIS lookupy pre expirácie domény sú jedinou pomocnou funkciou, ktorá beží v oddelenom dennom rozvrhu.

Monitorovanie SSL certifikátu