За який термін до закінчення SSL я маю бути попереджений?

Стандартні пороги попереджень: 30, 14, 7, 3 та 1 день до закінчення. Тридцять днів дозволяє спланувати оновлення у робочий час; коротші алерти піднімають терміновість. Якщо ти покладаєшся на автооновлення (Let's Encrypt з certbot), 7-денний алерт — саме той момент перевірити, чи поновлення справді вже відбулося — тихі збої автооновлення трапляються часто й виявляються тільки незалежним моніторингом.

Чи виявить SSL-моніторинг проблеми з ланцюжком або невідповідністю hostname?

Так. Монітор виконує справжній TLS-handshake і перевіряє сервірований сертифікат. Якщо сертифікат протермінований, self-signed, має невідповідність CN/SAN до hostname або підписаний невідомим CA, перевірка провалюється зі специфічною помилкою. Це дозволяє виявити проблеми типу "сертифікат технічно дійсний, але некоректно встановлений", які також позначаються браузерами.

Що, якщо сертифікат дійсний, але бракує проміжного CA?

Відсутні проміжні сертифікати спричиняють помилку "chain incomplete" у багатьох TLS-клієнтів (curl, старі Android-пристрої), навіть якщо десктопні браузери можуть автоматично завантажувати ланцюжок. Наша SSL-перевірка вимагає повного, дійсного ланцюжка — якщо проміжного не вистачає, перевірка не проходить і проблема буде показана раніше, ніж до неї дійдуть користувачі на мобільних.

Чи можу я моніторити SSL на індивідуальних портах (наприклад, 8443, поштові сервери)?

Так — вкажи URL монітора з портом (наприклад, https://api.example.com:8443/). Монітор підключається на цей порт для TLS-handshake і зчитує сертифікат. Це саме працює для SMTP STARTTLS, IMAP/POP3 TLS і інших протоколів, які використовують TLS на кастомних портах.

Чи використовує SSL-моніторинг додаткові кредити?

Ні. TLS-handshake та перевірка сертифіката — це частина кожної HTTPS-перевірки, без жодної додаткової оплати. Алерти про закінчення на 5 порогах також безкоштовні. WHOIS lookup для закінчення домену — єдина додаткова функція, що має окремий денний розклад.

Моніторинг SSL-сертифікатів — сповіщення за 30/14/7/3/1 днів

Прострочений SSL-сертифікат призводить до помилок у всіх браузерах рівно опівночі. Виявляйте їх заздалегідь — хоча б за 30 днів.

Вартість пропущеного поновлення SSL

SSL-сертифікат, що закінчується о 23:59:59, не закінчується плавно. О 00:00:00 наступного дня кожен браузер починає показувати повноекранне попередження про безпеку, кожен API-клієнт не проходить TLS handshake, кожен інтегратор webhook повертає помилку, кожна пошукова система знижує твої позиції, кожен email повертається, якщо сертифікат також покриває SMTP. Виправлення швидке — перевипуск, повторне розгортання — але вікно між закінченням строку і вирішенням дуже жорстке, бо ніхто не помічає сертифікат до опівночі, лише після неї.

SSL-моніторинг існує для того, щоб ти помітив це до опівночі. Монітор читає сертифікат з живого хоста, парсить термін дії і попереджає заздалегідь — за 30 днів, 14 днів, 7 днів, 3 дні, 1 день — тож поновлення ніколи не буде несподіванкою.

Що моніториться

Для кожного монітореного HTTPS-сайту DiagnoSEO Uptime Monitoring відкриває TLS-з'єднання, зчитує сертифікат peer і його парсить. З нього у дашборді записується:

Дійсність: чи сертифікат зараз у своєму терміні дії?
Днів до закінчення: рухомий лічильник, показується як кольорова пломба (зелена >30 днів, помаранчева 8-30, червона <8).
Дата закінчення: точна дата.
Видавець: хто підписав сертифікат (Let's Encrypt, DigiCert, GlobalSign тощо)
Subject: common name у сертифікаті.

Якщо сертифікат стає недійсним — закінчився термін, невірний hostname, порушено ланцюжок, самопідписаний, коли не має бути — монітор повідомить про SSL invalid незалежно від статусу HTTP. Стан "зіпсований HTTPS, але сервер працює" стає одразу видимим.

Пороги попереджень

Інструмент надсилає сповіщення SSL на п’яти порогах: за 30, 14, 7, 3 та 1 день до закінчення. Кожне — окремий алерт. Якщо у тебе увімкнені email і Telegram, ти отримаєш п’ять нагадувань при наближенні закінчення — все більш термінових. Перше (30 днів) — для планування. 14-денний — для "ні, справді, зроби це цього тижня". 7, 3 та 1-денні — на випадок, якщо поновлення не відбулося і когось треба негайно покликати.

Їх можна відключати окремо для кожного каналу — деякі команди хочуть отримувати SSL-сповіщення тільки на email, а не у Slack/Telegram (де вони можуть губитися серед спаму). Налаштовується у Повідомленнях.

Чому автооновлення не достатньо

Якщо ти використовуєш Let's Encrypt з certbot або схожим, можеш подумати, що SSL-моніторинг зайвий. Це не так. Автооновлення може зламатися по-різному: email облікового запису certbot стає невалідним, ACME-challenges не проходять через зміну фаєрволу, не спрацьовує cron, рестарт контейнера затирає стан поновлення, валідація домену ламається через зміну DNS. В усіх цих випадках сертифікат йде до закінчення, а автооновлення не врятує. SSL-моніторинг — це страховка, яка вловлює те, що пропустила автоматизація.

Для внутрішніх сертифікатів (корпоративний CA, mutual TLS) зазвичай автооновлення взагалі немає — SSL-моніторинг буде єдиним проактивним сигналом, що поновлення потрібне.

Налаштування

SSL-моніторинг автоматичний для кожного HTTPS-монітора в DiagnoSEO Uptime Monitoring. Його не потрібно увімкати окремо. Коли відбудеться глибша перевірка (протягом 24 годин після додавання монітора або одразу після натискання "Перевірити зараз"), SSL-секція в рядку заповнюється видавцем, датою закінчення та залишком днів. Відтоді монітор стежить за сертифікатом і надсилає алерти на порогах 30/14/7/3/1 день.

Для моніторів, що не HTTPS, SSL ігнорується. Для моніторів з кастомним портом SSL інструмент спробує відповідний порт (443 за змовчуванням; 465 для SMTPS, 993 для IMAPS і т.д. залежно від типу монітора).

Часті запитання

За який термін до закінчення SSL я маю бути попереджений?
Стандартні пороги попереджень: 30, 14, 7, 3 та 1 день до закінчення. Тридцять днів дозволяє спланувати оновлення у робочий час; коротші алерти піднімають терміновість. Якщо ти покладаєшся на автооновлення (Let's Encrypt з certbot), 7-денний алерт — саме той момент перевірити, чи поновлення справді вже відбулося — тихі збої автооновлення трапляються часто й виявляються тільки незалежним моніторингом.
Чи виявить SSL-моніторинг проблеми з ланцюжком або невідповідністю hostname?
Так. Монітор виконує справжній TLS-handshake і перевіряє сервірований сертифікат. Якщо сертифікат протермінований, self-signed, має невідповідність CN/SAN до hostname або підписаний невідомим CA, перевірка провалюється зі специфічною помилкою. Це дозволяє виявити проблеми типу "сертифікат технічно дійсний, але некоректно встановлений", які також позначаються браузерами.
Що, якщо сертифікат дійсний, але бракує проміжного CA?
Відсутні проміжні сертифікати спричиняють помилку "chain incomplete" у багатьох TLS-клієнтів (curl, старі Android-пристрої), навіть якщо десктопні браузери можуть автоматично завантажувати ланцюжок. Наша SSL-перевірка вимагає повного, дійсного ланцюжка — якщо проміжного не вистачає, перевірка не проходить і проблема буде показана раніше, ніж до неї дійдуть користувачі на мобільних.
Чи можу я моніторити SSL на індивідуальних портах (наприклад, 8443, поштові сервери)?
Так — вкажи URL монітора з портом (наприклад, https://api.example.com:8443/). Монітор підключається на цей порт для TLS-handshake і зчитує сертифікат. Це саме працює для SMTP STARTTLS, IMAP/POP3 TLS і інших протоколів, які використовують TLS на кастомних портах.
Чи використовує SSL-моніторинг додаткові кредити?
Ні. TLS-handshake та перевірка сертифіката — це частина кожної HTTPS-перевірки, без жодної додаткової оплати. Алерти про закінчення на 5 порогах також безкоштовні. WHOIS lookup для закінчення домену — єдина додаткова функція, що має окремий денний розклад.

Моніторинг SSL-сертифікатів