Коротко. Просроченный проверку SSL у SaaS — это мгновенное падение продукта: браузеры и API документацию-клиенты блокируют соединение, пользователи видят страшный экран ошибки. Мониторьте дату истечения каждого домена (включая API, вебхуки и кастомные домены клиентов) с алертом за 14 и 3 дня. Автообновление через Let's Encrypt не отменяет мониторинг сайтов — оно тоже ломается.
Почему истечение SSL критичнее, чем кажется
В отличие от обычного простоя, истечение сертификата ломает всё и сразу: фронтенд, API, вебхуки, мобильное приложение. Хуже того — это особенно болезненно для SaaS, потому что:
- API-клиенты не прощают. Браузер покажет «продолжить на свой риск», но HTTP-библиотека в интеграции клиента просто бросит исключение и упадёт.
- Вебхуки тихо перестают доходить. Интеграции с истёкший сертификат сертификатом на принимающей стороне молча отваливаются.
- Доверие рушится за секунды. Экран «ваше соединение не защищено» на B2B-продукте — это удар по репутации.
Автообновление Let's Encrypt — не гарантия. Сломавшийся cron, заполненный диск, изменившийся DNS или rate limiting ACME регулярно оставляют команды с просроченным сертификатом. Мониторинг — это страховка от того, что «должно было обновиться само».
Что именно мониторить в SaaS
У SaaS обычно не один домен, а целое семейство. Каждый нужно держать под наблюдением:
| Домен | Что ломается при истечении |
|---|---|
| app.saas.io | Веб-приложение, вход пользователей |
| api.saas.io | Все интеграции и SDK клиентов |
| hooks.saas.io | Доставка вебхуков |
| *.saas.io (wildcard) | Поддомены клиентов на тенантах |
| app.client-domain.com | Кастомные домены клиентов (white-label) |
| CDN.saas.io | Статика, ассеты фронтенда |
Особое внимание — кастомным доменам клиентов. Если ваш SaaS позволяет клиенту подключить app.его-бренд.com, то вы отвечаете и за эти сертификаты тоже. Их истечение — самый частый источник «тихих» инцидентов.
Какие пороги предупреждений выставить
enterno.io по умолчанию предупреждает за 14 дней (warning) и за 3 дня (critical) до истечения. Эта двухступенчатая схема даёт запас:
- 14 дней — спокойно запланировать обновление, разобраться, почему автообновление не сработало.
- 3 дня — красный флаг: бросайте всё и обновляйте вручную.
Как проверить дату истечения вручную
Прежде чем настроить автоматический мониторинг, полезно понимать, что именно он проверяет. Дату окончания сертификата легко увидеть через openssl:
echo | openssl s_client -servername api.saas.io -connect api.saas.io:443 2>/dev/null \
| openssl x509 -noout -enddate
# notAfter=Aug 14 12:00:00 2026 GMT
Эта команда выводит точную дату notAfter. Мониторинг enterno.io делает то же самое автоматически по расписанию и шлёт алерт, когда до этой даты остаётся 14 или 3 дня — вам не нужно помнить про сотню доменов.
Алерты в каналы команды
SSL-алерты должны попадать туда, где их точно увидят. enterno.io отправляет в Telegram, Slack, на email, через webhook, в PagerDuty и Jira. Для SaaS-команды разумно:
- Slack-канал #infra — warning за 14 дней, в рабочее время.
- PagerDuty — critical за 3 дня, чтобы инцидент эскалировался дежурному.
- Jira — автоматически завести тикет на обновление, чтобы не потерялось.
Если автообновление в вашем пайплайне настроено, добавьте сюда heartbeat-мониторинг самого cron-задания обновления — тогда вы узнаете о поломке renew-скрипта до того, как сертификат вообще приблизится к истечению.
Многорегиональная проверка и цепочка сертификатов
enterno.io проверяет SSL из России, Европы и США. Это важно не только для доступности, но и для выявления проблем с промежуточными сертификатами: иногда сервер отдаёт неполную цепочку, и одни клиенты её достраивают, а другие — нет. SSL-чекер показывает полную цепочку, протокол, шифр и срок действия.
Частые вопросы
У меня настроен Let's Encrypt с автообновлением. Зачем мониторинг?
Потому что автообновление ломается тихо: упавший cron, заполненный диск, изменившийся DNS, rate-limit ACME. Мониторинг — это независимая проверка факта, а не намерения.
Нужно ли мониторить wildcard-сертификат отдельно по каждому поддомену?
Достаточно мониторить один представительный хост на wildcard плюс отдельно — все кастомные домены клиентов, у которых свои сертификаты.
За сколько дней оптимально предупреждать?
Двухступенчато: 14 дней (плановое) и 3 дня (срочное). Это даёт время разобраться и при этом не пропустить дедлайн.
Что делать прямо сейчас, если сертификат уже истёк?
Обновите его немедленно и проверьте корневую причину. Пошаговый разбор — в статье как исправить истёкший SSL-сертификат.
Проверить SSL и настроить мониторинг — бесплатно →
Смотрите также: полный гайд по мониторингу SSL-сертификатов и мониторинг аптайма.