Hur långt i förväg bör jag bli varnad om SSL-utgång?

Standardnivåerna för varningar är 30, 14, 7, 3 och 1 dag före utgång. Trettio dagar ger tid att planera förnyelse under normal arbetstid; kortare varningar ökar brådskan. Om du litar på auto-förnyelse (Let's Encrypt med certbot) är 7-dagarsvarningen tiden att kontrollera att förnyelsen faktiskt blev av – tysta förnyelsefel är vanliga och bara oberoende övervakning upptäcker dem.

Upptäcker SSL-övervakningen problem med kedja eller mismatch av värdnamn?

Ja. Monitorn genomför en äkta TLS-handshake och verifierar det serverade certifikatet. Om certifikatet är utgånget, självsignerat, har mismatch i CN/SAN med värdnamnet eller är signerat av ett okänt CA, misslyckas kontrollen med specifikt felmeddelande. Det fångar problem av typen "certifikatet är tekniskt sett giltigt men felinstallerat" som även webbläsare flaggar.

Vad om certifikatet är giltigt men saknar intermediärt CA?

Saknade mellanliggande certifikat ger "chain incomplete"-fel i många TLS-klienter (curl, äldre Android-enheter) även när desktop-webbläsare automatiskt kan hämta kedjan. Vår SSL-kontroll kräver en komplett, giltig kedja – om det saknas mellanliggande misslyckas kontrollen och visar problemet innan mobilanvändarna upptäcker det.

Kan jag övervaka SSL på anpassade portar (t.ex. 8443, e-postservrar)?

Ja – konfigurera övervakarens URL med port (t.ex. https://api.example.com:8443/). Monitorn ansluter då på den porten för TLS-handshake och läser certifikatet. Samma sak fungerar för SMTP STARTTLS, IMAP/POP3 TLS och andra protokoll som skyddar TLS på anpassade portar.

Använder SSL-övervakningen extra krediter?

Nej. TLS-handshake och kontroll av certifikat sker som en del av varje HTTPS-kontroll – utan extra kostnad. Varningarna för utgång på 5 nivåer är också gratis. WHOIS-uppslagningar för domänutgång är den enda extrafunktionen som körs på ett separat dagligt schema.

SSL-certifikatövervakning — varningar vid 30/14/7/3/1 dagar

Ett utgånget SSL-certifikat gör att alla webbläsare slutar fungera vid midnatt. Upptäck dem med över 30 dagar till godo.

Kostnaden för missad SSL-förnyelse

Ett SSL-certifikat som löper ut kl. 23:59:59 försvagas inte gradvis. Kl. 00:00:00 dagen därpå börjar varje webbläsare visa en helskärms säkerhetsvarning, varje API-klient misslyckas under TLS-handshake, varje webhook-integrator returnerar ett fel, varje sökmotor degraderar din ranking, varje e-post studsar om certifikatet också täckte SMTP. Åtgärden går snabbt – nyutgivning, nyutplacering – men fönstret mellan utgång och lösning är brutalt, för ingen märker certifikatet före midnatt, bara efter.

SSL-övervakning finns till för att du faktiskt märker det före midnatt. Monitorn läser certifikatet från en levande värd, tolkar giltighetsperioden och varnar i god tid – 30 dagar, 14 dagar, 7 dagar, 3 dagar, 1 dag – så förnyelsen blir aldrig en överraskning.

Vad som övervakas

För varje övervakad HTTPS-sida öppnar DiagnoSEO Uptime Monitoring en TLS-anslutning, hämtar peers certifikat och tolkar det. I dashboarden sparas:

Giltighet: är certifikatet för närvarande inom sin giltighetsperiod?
Dagar till utgång: löpande räknare, visas som en färgad etikett (grön >30 dagar, orange 8-30, röd <8).
Utgångsdatum: exakt datum.
Utfärdare: vem som har signerat certifikatet (Let's Encrypt, DigiCert, GlobalSign etc.)
Subject: common name på certifikatet.

Om certifikatet blir ogiltigt – har löpt ut, felaktigt värdnamn, trasig kedja, självsignerat när det inte ska vara det – rapporterar monitorn SSL invalid oberoende av HTTP-status. Tillståndet "trasigt HTTPS, men servern fungerar" blir genast synligt.

Varningsnivåer

Verktyget skickar ut SSL-varningar på fem nivåer: 30, 14, 7, 3 och 1 dag före utgång. Var och en är en separat varning. Om du har e-post och Telegram aktiverat får du fem påminnelser när utgången närmar sig – alltmer akuta. Den första (30 dagar) är för planering. 14-dagars till "nej, allvarligt, gör det denna vecka". 7, 3 och 1 dagars finns till för läget när förnyelsen inte skett och någon måste larmas direkt.

Du kan stänga av dem per kanal – vissa team vill bara ha SSL-varningar via e-post, inte via Slack/Telegram (där de kan försvinna i bruset). Ställ in detta under Notiser.

Varför auto-förnyelse inte räcker

Om du använder Let's Encrypt med certbot eller liknande kanske du tror att SSL-övervakning är onödig. Det är den inte. Auto-förnyelse kan fallera på många sätt: certbots konto-e-post blir ogiltig, ACME-utmaningar misslyckas på grund av brandväggsförändringar, cron-jobbet funkar inte, en container-omstart raderar tillståndet, domänvalideringen havererar vid DNS-ändring. I alla dessa fall är certifikatet på väg att löpa ut och auto-förnyelsen räddar dig inte. SSL-övervakning är säkerhetsnätet som fångar det automatiseringen missar.

För interna certifikat (företagsinternt CA, mutual TLS) finns oftast ingen auto-förnyelse alls – SSL-övervakning är den enda proaktiva signalen om att förnyelse behövs.

Konfiguration

SSL-övervakning är automatisk för varje HTTPS-övervakare i DiagnoSEO Uptime Monitoring. Du behöver inte aktivera den separat. Nästa gång en djupare kontroll triggas (inom 24h från att monitorn lades till eller direkt efter att du klickat "Kontrollera nu"), fylls SSL-sektionen i raden med utfärdare, utgångsdatum och återstående dagar. Från den stunden bevakar monitorn certifikatet och larmar på 30/14/7/3/1-dagars nivåerna.

För monitorer som inte är HTTPS, ignoreras SSL. För monitorer med anpassad SSL-port försöker verktyget en passande port (443 som standard; 465 för SMTPS, 993 för IMAPS etc. beroende på monitortyp).

Vanliga frågor

Hur långt i förväg bör jag bli varnad om SSL-utgång?
Standardnivåerna för varningar är 30, 14, 7, 3 och 1 dag före utgång. Trettio dagar ger tid att planera förnyelse under normal arbetstid; kortare varningar ökar brådskan. Om du litar på auto-förnyelse (Let's Encrypt med certbot) är 7-dagarsvarningen tiden att kontrollera att förnyelsen faktiskt blev av – tysta förnyelsefel är vanliga och bara oberoende övervakning upptäcker dem.
Upptäcker SSL-övervakningen problem med kedja eller mismatch av värdnamn?
Ja. Monitorn genomför en äkta TLS-handshake och verifierar det serverade certifikatet. Om certifikatet är utgånget, självsignerat, har mismatch i CN/SAN med värdnamnet eller är signerat av ett okänt CA, misslyckas kontrollen med specifikt felmeddelande. Det fångar problem av typen "certifikatet är tekniskt sett giltigt men felinstallerat" som även webbläsare flaggar.
Vad om certifikatet är giltigt men saknar intermediärt CA?
Saknade mellanliggande certifikat ger "chain incomplete"-fel i många TLS-klienter (curl, äldre Android-enheter) även när desktop-webbläsare automatiskt kan hämta kedjan. Vår SSL-kontroll kräver en komplett, giltig kedja – om det saknas mellanliggande misslyckas kontrollen och visar problemet innan mobilanvändarna upptäcker det.
Kan jag övervaka SSL på anpassade portar (t.ex. 8443, e-postservrar)?
Ja – konfigurera övervakarens URL med port (t.ex. https://api.example.com:8443/). Monitorn ansluter då på den porten för TLS-handshake och läser certifikatet. Samma sak fungerar för SMTP STARTTLS, IMAP/POP3 TLS och andra protokoll som skyddar TLS på anpassade portar.
Använder SSL-övervakningen extra krediter?
Nej. TLS-handshake och kontroll av certifikat sker som en del av varje HTTPS-kontroll – utan extra kostnad. Varningarna för utgång på 5 nivåer är också gratis. WHOIS-uppslagningar för domänutgång är den enda extrafunktionen som körs på ett separat dagligt schema.

SSL-certifikatövervakning