Tôi nên được cảnh báo trước bao nhiêu lâu khi SSL sắp hết hạn?

Ngưỡng cảnh báo tiêu chuẩn là 30, 14, 7, 3 và 1 ngày trước khi hết hạn. 30 ngày giúp bạn có thời gian lên kế hoạch gia hạn trong giờ làm việc; các cảnh báo ngắn hơn sẽ tăng dần mức độ khẩn cấp. Nếu bạn dựa vào tự động gia hạn (Let's Encrypt với certbot), cảnh báo 7 ngày là lúc kiểm tra xem việc gia hạn đã diễn ra chưa — lỗi âm thầm của hệ thống tự động gia hạn rất phổ biến và chỉ có giám sát độc lập mới phát hiện được.

Giám sát SSL có phát hiện lỗi chuỗi hay không đúng hostname không?

Có. Monitor thực hiện handshake TLS thực và kiểm tra chứng chỉ được cung cấp. Nếu chứng chỉ hết hạn, self-signed, CN/SAN không trùng với hostname hoặc được cấp bởi CA không rõ, quá trình kiểm tra sẽ thất bại với lỗi cụ thể. Điều này phát hiện ra các vấn đề kiểu "chứng chỉ hợp lệ về kỹ thuật nhưng cài đặt sai" mà trình duyệt cũng sẽ cảnh báo.

Nếu chứng chỉ hợp lệ nhưng thiếu CA trung gian thì sao?

Thiếu chứng chỉ CA trung gian sẽ khiến nhiều client TLS (curl, thiết bị Android cũ) báo lỗi "chain incomplete" dù nhiều trình duyệt máy tính để bàn có thể tự động tải về chuỗi chứng chỉ. Kiểm tra SSL của chúng tôi yêu cầu chuỗi chứng chỉ đầy đủ, hợp lệ — nếu thiếu CA trung gian, kiểm tra thất bại, giúp bạn phát hiện lỗi trước khi người dùng di động bị ảnh hưởng.

Tôi có thể giám sát SSL trên các cổng tùy chỉnh (vd. 8443, email server) không?

Có — hãy cấu hình URL monitor kèm port (ví dụ: https://api.example.com:8443/). Monitor sẽ kết nối đến port này để bắt tay TLS và lấy chứng chỉ. Điều này cũng hoạt động với SMTP STARTTLS, IMAP/POP3 TLS và các giao thức khác dùng TLS trên cổng tùy chỉnh.

Giám sát SSL có sử dụng thêm tín dụng không?

Không. Bắt tay TLS và kiểm tra chứng chỉ là một phần của mỗi lần kiểm tra HTTPS — không phát sinh thêm chi phí. Cảnh báo hết hạn ở 5 ngưỡng cũng hoàn toàn miễn phí. Tra cứu WHOIS ngày hết hạn domain là chức năng phụ duy nhất chạy trên lịch riêng biệt hằng ngày.

Giám sát chứng chỉ SSL — Cảnh báo 30/14/7/3/1 ngày

Một chứng chỉ SSL hết hạn sẽ làm hỏng mọi trình duyệt trên thế giới ngay đúng nửa đêm. Hãy phát hiện chúng trước 30 ngày.

Chi phí gia hạn SSL bị bỏ lỡ

Chứng chỉ SSL hết hạn vào lúc 23:59:59 không bị suy giảm một cách nhẹ nhàng. Đúng 00:00:00 ngày hôm sau, mọi trình duyệt đều bắt đầu hiển thị cảnh báo bảo mật toàn màn hình, mọi client API đều thất bại khi bắt tay TLS, mọi tích hợp webhook trả về lỗi, mọi công cụ tìm kiếm đều hạ thấp thứ hạng trang của bạn, mọi email đều bị trả lại nếu chứng chỉ cũng bao phủ cả SMTP. Việc sửa chữa rất nhanh - cấp lại, redeploy - nhưng khoảng thời gian giữa khi hết hạn và khi khắc phục cực kỳ nghiêm trọng, vì không ai để ý đến chứng chỉ trước nửa đêm mà chỉ sau đó thôi.

Giám sát SSL tồn tại để bạn có thể phát hiện trước nửa đêm. Công cụ giám sát đọc chứng chỉ từ máy chủ sống, phân tích thời hạn hiệu lực và cảnh báo trước rất lâu - 30 ngày, 14 ngày, 7 ngày, 3 ngày, 1 ngày - để việc gia hạn không bao giờ là điều bất ngờ.

Những gì được giám sát

Với mỗi trang HTTPS được giám sát, DiagnoSEO Uptime Monitoring sẽ mở kết nối TLS, lấy chứng chỉ từ máy chủ và phân tích nó. Từ đó, dashboard sẽ lưu lại:

Hiệu lực: chứng chỉ hiện tại có còn trong thời gian hiệu lực không?
Số ngày còn lại đến khi hết hạn: đếm lùi, hiển thị như một dấu hiệu màu (xanh lá >30 ngày, cam 8-30, đỏ <8).
Ngày hết hạn: ngày chính xác.
Nhà phát hành: ai đã ký chứng chỉ (Let's Encrypt, DigiCert, GlobalSign v.v.)
Subject: Common Name trên chứng chỉ.

Nếu chứng chỉ trở nên không hợp lệ - hết hạn, hostname sai, chuỗi chứng chỉ lỗi, self-signed khi không nên - hệ thống ngay lập tức báo cáo SSL invalid bất kể trạng thái HTTP. Tình trạng "HTTPS bị hỏng, nhưng máy chủ vẫn chạy" sẽ được phát hiện ngay lập tức.

Ngưỡng cảnh báo

Công cụ phát sinh cảnh báo SSL ở năm ngưỡng: 30, 14, 7, 3 và 1 ngày trước khi hết hạn. Mỗi ngưỡng là một cảnh báo riêng. Nếu bạn bật cả email và Telegram, bạn sẽ nhận đủ năm thông báo nhắc nhở khi đến gần thời điểm hết hạn - cảnh báo càng ngày càng cấp thiết. Cảnh báo đầu tiên (30 ngày) để bạn có thời gian lập kế hoạch. 14 ngày để "thật sự, làm ngay trong tuần này". 7, 3, 1 ngày tồn tại để nếu việc gia hạn chưa xong, ai đó sẽ phải lập tức lo xử lý.

Bạn có thể tắt từng kênh cảnh báo - một số nhóm chỉ muốn cảnh báo SSL qua email mà không phải Slack/Telegram (ở đó có thể trôi mất trong nhiều tin nhắn khác). Thiết lập điều này ở phần Thông báo.

Tại sao tự động gia hạn vẫn chưa đủ

Nếu bạn dùng Let's Encrypt với certbot hoặc tương tự, bạn có thể nghĩ giám sát SSL là thừa thãi. Không phải vậy. Tự động gia hạn có thể thất bại nhiều cách: email của certbot hết hạn, ACME challenge không thành công do đổi firewall, cron gia hạn ngừng chạy, khởi động lại container làm mất trạng thái gia hạn, xác minh miền trục trặc khi thay đổi DNS. Trong tất cả trường hợp này, chứng chỉ sẽ hướng tới hết hạn và auto-renewal sẽ không thể cứu bạn. Giám sát SSL là lưới an toàn để bắt lỗi mà tự động hóa đã bỏ qua.

Với chứng chỉ nội bộ (CA nội bộ doanh nghiệp, mutual TLS), thường không hề có tự động gia hạn - giám sát SSL là tín hiệu chủ động duy nhất cho thấy cần gia hạn.

Cấu hình

Giám sát SSL là mặc định cho mọi monitor HTTPS trong DiagnoSEO Uptime Monitoring. Bạn không cần bật riêng. Lần tiếp theo khi kiểm tra chuyên sâu (trong vòng 24h kể từ khi thêm monitor hoặc ngay sau khi bạn nhấn "Kiểm tra ngay"), mục SSL trong bảng sẽ điền đầy đủ nhà phát hành, ngày hết hạn, và số ngày còn lại. Từ thời điểm đó monitor sẽ canh chứng chỉ và cảnh báo tại các ngưỡng 30/14/7/3/1 ngày.

Với các monitor không phải HTTPS thì SSL sẽ bị bỏ qua. Đối với monitor với cổng SSL tùy chỉnh, công cụ sẽ tự động thử lựa chọn cổng phù hợp (443 mặc định; 465 cho SMTPS, 993 cho IMAPS v.v. tùy loại monitor).

Câu hỏi thường gặp

Tôi nên được cảnh báo trước bao nhiêu lâu khi SSL sắp hết hạn?
Ngưỡng cảnh báo tiêu chuẩn là 30, 14, 7, 3 và 1 ngày trước khi hết hạn. 30 ngày giúp bạn có thời gian lên kế hoạch gia hạn trong giờ làm việc; các cảnh báo ngắn hơn sẽ tăng dần mức độ khẩn cấp. Nếu bạn dựa vào tự động gia hạn (Let's Encrypt với certbot), cảnh báo 7 ngày là lúc kiểm tra xem việc gia hạn đã diễn ra chưa — lỗi âm thầm của hệ thống tự động gia hạn rất phổ biến và chỉ có giám sát độc lập mới phát hiện được.
Giám sát SSL có phát hiện lỗi chuỗi hay không đúng hostname không?
Có. Monitor thực hiện handshake TLS thực và kiểm tra chứng chỉ được cung cấp. Nếu chứng chỉ hết hạn, self-signed, CN/SAN không trùng với hostname hoặc được cấp bởi CA không rõ, quá trình kiểm tra sẽ thất bại với lỗi cụ thể. Điều này phát hiện ra các vấn đề kiểu "chứng chỉ hợp lệ về kỹ thuật nhưng cài đặt sai" mà trình duyệt cũng sẽ cảnh báo.
Nếu chứng chỉ hợp lệ nhưng thiếu CA trung gian thì sao?
Thiếu chứng chỉ CA trung gian sẽ khiến nhiều client TLS (curl, thiết bị Android cũ) báo lỗi "chain incomplete" dù nhiều trình duyệt máy tính để bàn có thể tự động tải về chuỗi chứng chỉ. Kiểm tra SSL của chúng tôi yêu cầu chuỗi chứng chỉ đầy đủ, hợp lệ — nếu thiếu CA trung gian, kiểm tra thất bại, giúp bạn phát hiện lỗi trước khi người dùng di động bị ảnh hưởng.
Tôi có thể giám sát SSL trên các cổng tùy chỉnh (vd. 8443, email server) không?
Có — hãy cấu hình URL monitor kèm port (ví dụ: https://api.example.com:8443/). Monitor sẽ kết nối đến port này để bắt tay TLS và lấy chứng chỉ. Điều này cũng hoạt động với SMTP STARTTLS, IMAP/POP3 TLS và các giao thức khác dùng TLS trên cổng tùy chỉnh.
Giám sát SSL có sử dụng thêm tín dụng không?
Không. Bắt tay TLS và kiểm tra chứng chỉ là một phần của mỗi lần kiểm tra HTTPS — không phát sinh thêm chi phí. Cảnh báo hết hạn ở 5 ngưỡng cũng hoàn toàn miễn phí. Tra cứu WHOIS ngày hết hạn domain là chức năng phụ duy nhất chạy trên lịch riêng biệt hằng ngày.

Giám sát chứng chỉ SSL