S kakšnim časovnim zamikom moram biti opozorjen pred potekom SSL?

Standardni prahovi za opozorila so 30, 14, 7, 3 in 1 dan pred iztekom. Trideset dni omogoča načrtovanje podaljšanja v času službe; krajša opozorila stopnjujejo nujnost. Če se zanašaš na samodejno podaljševanje (Let's Encrypt s certbotom), je 7-dnevno opozorilo trenutek za preverjanje, ali je podaljšanje dejansko uspelo — tihe napake podaljšanj so pogoste in jih zazna le neodvisni nadzor.

Ali bo monitoring SSL zaznal težave z verigo ali neskladjem gostitelja?

Da. Monitor opravi pravi TLS handshake in preveri izdan certifikat. Če je certifikat potekel, self-signed, ima neskladje CN/SAN z gostiteljem ali je podpisan s strani neznanega CA, preverjanje odpove s specifično napako. S tem zaznamo težave tipa "certifikat je tehnično veljaven, a napačno nameščen", kar brskalniki prav tako označijo.

Kaj če je certifikat veljaven, a manjka vmesni CA?

Manjkajoči vmesni certifikati povzročijo napako "chain incomplete" v mnogih TLS odjemalcih (curl, starejše Android naprave), četudi namizni brskalniki verigo samodejno dprenesjo. Naš SSL check zahteva popolno, veljavno verigo – če vmesni manjka, preverjanje odpove, tako je težava vidna še preden jo opazijo mobilni uporabniki.

Ali lahko spremljam SSL na nestandardnih portih (npr. 8443, poštni strežniki)?

Da — v URL monitorja nastavi port (npr. https://api.example.com:8443/). Monitor se poveže na ta port za TLS handshake in prebere certifikat. Enako velja za SMTP STARTTLS, IMAP/POP3 TLS ter druge protokole, ki uporabljajo TLS na prilagojenih portih.

Ali nadzor SSL porabi dodatne kredite?

Ne. TLS handshake in preverjanje certifikata se opravi v okviru vsakega HTTPS preverjanja — brez dodatnih stroškov. Opozorila o poteku na 5 pragih so prav tako brezplačna. WHOIS poizvedbe za potek domene so edina podporna funkcija, ki poteka po ločenem dnevnem urniku.

Nadzor SSL certifikatov — opozorila po 30/14/7/3/1 dneh

Potekel SSL certifikat povzroči, da vsi brskalniki na svetu prenehajo delovati natanko ob polnoči. Preprečite težave pravočasno — več kot 30 dni vnaprej.

Stroški zamujenega podaljšanja SSL

SSL certifikat, ki poteče ob 23:59:59, se ne izteče postopno. Ob 00:00:00 naslednjega dne vsak brskalnik pokaže celozaslonsko varnostno opozorilo, vsak API odjemalec odpove pri TLS handshake-u, vsaka integracija webhookov vrne napako, vsako iskalnik zniža tvoje uvrstitve, vsak email se odbije, če je certifikat pokrival tudi SMTP. Popravilo je hitro - ponovno izdati, ponovno uvesti - a okno med iztekom in rešitvijo je kruto, ker certifikata pred polnočjo nihče ne opazi, le po njej.

Nadzor SSL obstaja zato, da ga opaziš pred polnočjo. Monitor prebere certifikat s strežnika v živo, razbere obdobje veljavnosti in pravočasno opozori – 30 dni, 14 dni, 7 dni, 3 dni, 1 dan – tako podaljšanje nikoli ne bo presenečenje.

Kaj se nadzoruje

Za vsako nadzorovano stran HTTPS DiagnoSEO Uptime Monitoring vzpostavi TLS povezavo, zajame certifikat oddaljenega strežnika in ga razbere. V dashboardu se shrani:

Veljavnost: ali je certifikat trenutno v svojem obdobju veljavnosti?
Dnevi do poteka: sprotno štetje, prikazano kot barvna oznaka (zelena >30 dni, oranžna 8–30, rdeča <8).
Datum poteka: točen datum.
Izdajatelj: kdo je podpisal certifikat (Let's Encrypt, DigiCert, GlobalSign itd.)
Subject: common name na certifikatu.

Če certifikat postane neveljaven – je potekel, napačen hostname, pokvarjena veriga, self-signed ko ne bi smel biti – monitor poroča SSL invalid neodvisno od HTTP statusa. Stanje "pokvarjen HTTPS, a strežnik deluje" postane takoj vidno.

Prahovi opozoril

Orodje sproži SSL opozorila na petih pragih: 30, 14, 7, 3 in 1 dan pred potekom. Vsako posebej je opozorilo. Če imaš vklopljena e-pošto in Telegram, dobiš pet opomnikov, ko se bliža iztek – vse bolj nujnih. Prvi (30 dni) je za načrtovanje. 14-dnevni za "ne, resno, naredi to ta teden". 7-, 3- in 1-dnevna opozorila obstajajo, če podaljšanje ni bilo opravljeno in mora biti nekdo nemudoma obveščen.

Opozorila je možno izklopiti po kanalu – nekatere ekipe želijo SSL opozorila le po e-pošti, ne pa na Slack/Telegram (kjer bi se lahko izgubila v šumu). To nastaviš v Obvestilih.

Zakaj samodejno podaljševanje ni dovolj

Če uporabljaš Let's Encrypt s certbotom ali kaj podobnega, morda misliš, da je nadzor SSL nepotreben. Ni. Samodejno podaljševanje lahko zataji na več načinov: elektronski naslov certbot računa postane neveljaven, ACME izzivi odpovejo zaradi spremembe firewall pravil, cron za podaljšanje ne deluje več, ponovni zagon kontejnerja izbriše stanje podaljšanja, validacija domene odpove zaradi spremembe DNS. V vseh teh primerih certifikat drvi proti poteku, avtomatika te ne bo rešila. SSL monitoring je varnostna mreža, ki ujame, kar je avtomatizacija spregledala.

Za interne certifikate (interni CA, mutual TLS) samodejnega podaljševanja pogosto sploh ni – nadzor SSL je edini proaktivni signal, da je podaljšanje potrebno.

Nastavitev

Nadzor SSL je samodejen za vsak HTTPS monitor v DiagnoSEO Uptime Monitoring. Ni ga treba posebej vklopiti. Naslednjič, ko se sproži globlje preverjanje (v 24h po dodajanju monitorja ali takoj po kliku "Preveri zdaj"), se vrstica SSL napolni z izdajateljem, datumom poteka in preostalimi dnevi. Od takrat naprej monitor pazi na certifikat in opozarja na pragih 30/14/7/3/1 dan.

Za monitorje, ki niso HTTPS, se SSL preskoči. Za monitorje s prilagojenim SSL portom orodje poskuša ustrezen port (443 privzeto; 465 za SMTPS, 993 za IMAPS itd., odvisno od vrste monitorja).

Pogosta vprašanja

S kakšnim časovnim zamikom moram biti opozorjen pred potekom SSL?
Standardni prahovi za opozorila so 30, 14, 7, 3 in 1 dan pred iztekom. Trideset dni omogoča načrtovanje podaljšanja v času službe; krajša opozorila stopnjujejo nujnost. Če se zanašaš na samodejno podaljševanje (Let's Encrypt s certbotom), je 7-dnevno opozorilo trenutek za preverjanje, ali je podaljšanje dejansko uspelo — tihe napake podaljšanj so pogoste in jih zazna le neodvisni nadzor.
Ali bo monitoring SSL zaznal težave z verigo ali neskladjem gostitelja?
Da. Monitor opravi pravi TLS handshake in preveri izdan certifikat. Če je certifikat potekel, self-signed, ima neskladje CN/SAN z gostiteljem ali je podpisan s strani neznanega CA, preverjanje odpove s specifično napako. S tem zaznamo težave tipa »certifikat je tehnično veljaven, a napačno nameščen«, kar brskalniki prav tako označijo.
Kaj če je certifikat veljaven, a manjka vmesni CA?
Manjkajoči vmesni certifikati povzročijo napako "chain incomplete" v mnogih TLS odjemalcih (curl, starejše Android naprave), četudi namizni brskalniki verigo samodejno dprenesjo. Naš SSL check zahteva popolno, veljavno verigo – če vmesni manjka, preverjanje odpove, tako je težava vidna še preden jo opazijo mobilni uporabniki.
Ali lahko spremljam SSL na nestandardnih portih (npr. 8443, poštni strežniki)?
Da — v URL monitorja nastavi port (npr. https://api.example.com:8443/). Monitor se poveže na ta port za TLS handshake in prebere certifikat. Enako velja za SMTP STARTTLS, IMAP/POP3 TLS ter druge protokole, ki uporabljajo TLS na prilagojenih portih.
Ali nadzor SSL porabi dodatne kredite?
Ne. TLS handshake in preverjanje certifikata se opravi v okviru vsakega HTTPS preverjanja — brez dodatnih stroškov. Opozorila o poteku na 5 pragih so prav tako brezplačna. WHOIS poizvedbe za potek domene so edina podporna funkcija, ki poteka po ločenem dnevnem urniku.

Nadzor SSL certifikatov