Перейти к содержимому
Skip to content
API Тарифы EN Войти
← Все статьи
SSL/TLS

Мониторинг SSL-сертификатов: избегаем простоев

Опубликовано: 14.03.2026 · 3 мин чтения · 10 просмотров

Почему истекший сертификат — катастрофа

Когда проверку SSL истекает, браузеры показывают полноэкранное предупреждение, блокируя доступ к сайту. Пользователи не могут обойти это предупреждение без специальных действий. Результат: потеря трафика, конверсий и доверия. По статистике, 85% пользователей покидают сайт при виде SSL-ошибки.

Истечение сертификата — самая предотвратимая причина даунтайма. Вы всегда знаете дату истечения заранее.

Что мониторить

Срок действия

Главная метрика — количество дней до истечения. Настройте уведомления на 30, 14 и 7 дней до истечения. Для критических сервисов — дополнительно на 3 и 1 день.

Проверьте срок действия вашего сертификата с помощью SSL-чекера Enterno.io.

Цепочка доверия

SSL-сертификат работает через цепочку: ваш сертификат → промежуточный CA → корневой CA. Если промежуточный сертификат отсутствует или некорректен, браузеры не смогут проверить подлинность вашего сертификата.

Распространённые проблемы:

Протокол и шифры

Мониторьте поддерживаемые версии TLS и шифры:

Соответствие домена

Сертификат должен покрывать все домены и поддомены, которые используются. Wildcard-сертификат *.example.com покрывает поддомены, но не сам example.com (нужен SAN).

Certificate Transparency

Мониторьте CT-логи на предмет неожиданных сертификатов для вашего домена. Если кто-то получил сертификат для вашего домена без вашего ведома — это признак компрометации.

Автоматизация продления

Let's Encrypt + Certbot

Let's Encrypt выдаёт бесплатные сертификаты сроком на 90 дней. Certbot автоматизирует продление:

# Установка certbot
apt install certbot python3-certbot-nginx

# Получение сертификата
certbot --nginx -d example.com -d www.example.com

# Проверка автопродления
certbot renew --dry-run

# Cron для продления (обычно настраивается автоматически)
0 0,12 * * * certbot renew --quiet

Облачные провайдеры

AWS Certificate Manager, Cloudflare, Google Cloud — предоставляют автоматическое управление сертификатами без ручного вмешательства.

Коммерческие сертификаты

Для OV и EV сертификатов автопродление сложнее из-за ручной верификации. Начинайте процесс продления за 30 дней до истечения.

Распространённые проблемы

Сбой автопродления

Даже с Certbot автопродление может сломаться:

Mixed content после обновления

Новый сертификат может изменить поведение HSTS или sub-domain coverage, вызвав неожиданные mixed content ошибки.

Pinning проблемы

Если вы используете HPKP или certificate pinning в мобильных приложениях, замена сертификата может заблокировать доступ. HPKP устарел и не рекомендуется.

Инструменты мониторинга

Чеклист SSL-мониторинга

  1. Настроить автопродление (Certbot / облачный провайдер)
  2. Мониторить срок действия (алерты на 30/14/7/3/1 день)
  3. Проверять цепочку доверия после каждого обновления
  4. Тестировать автопродление ежемесячно (certbot renew --dry-run)
  5. Мониторить CT-логи для обнаружения неавторизованных сертификатов
  6. Отключить устаревшие протоколы (TLS 1.0/1.1)
  7. Документировать процедуру ручного продления как fallback

Итоги

Мониторинг SSL-сертификатов — это не просто проверка даты истечения. Мониторьте цепочку доверия, протоколы, шифры и CT-логи. Автоматизируйте продление, но не доверяйте автоматизации слепо — проверяйте её работоспособность. Используйте инструменты Enterno.io для регулярных проверок.

Проверьте ваш сайт прямо сейчас

Проверить →
Другие статьи: SSL/TLS
SSL/TLS
Wildcard SSL-сертификаты: когда и как использовать
16.03.2026 · 15 просм.
SSL/TLS
TLS 1.3: что изменилось и почему это важно
16.03.2026 · 24 просм.
SSL/TLS
Как проверить SSL-сертификат сайта: пошаговое руководство
12.03.2026 · 14 просм.
SSL/TLS
Типы SSL-сертификатов: DV, OV, EV — какой выбрать
11.03.2026 · 21 просм.

Начните мониторинг бесплатно

Зарегистрируйтесь и получите доступ к API, мониторингу и уведомлениям

Создать аккаунт Документация API