Skip to content
← Все статьи

SSL-мониторинг для SaaS: не пропустить истечение

Коротко. Просроченный проверку SSL у SaaS — это мгновенное падение продукта: браузеры и API документацию-клиенты блокируют соединение, пользователи видят страшный экран ошибки. Мониторьте дату истечения каждого домена (включая API, вебхуки и кастомные домены клиентов) с алертом за 14 и 3 дня. Автообновление через Let's Encrypt не отменяет мониторинг сайтов — оно тоже ломается.

Почему истечение SSL критичнее, чем кажется

В отличие от обычного простоя, истечение сертификата ломает всё и сразу: фронтенд, API, вебхуки, мобильное приложение. Хуже того — это особенно болезненно для SaaS, потому что:

  • API-клиенты не прощают. Браузер покажет «продолжить на свой риск», но HTTP-библиотека в интеграции клиента просто бросит исключение и упадёт.
  • Вебхуки тихо перестают доходить. Интеграции с истёкший сертификат сертификатом на принимающей стороне молча отваливаются.
  • Доверие рушится за секунды. Экран «ваше соединение не защищено» на B2B-продукте — это удар по репутации.
Автообновление Let's Encrypt — не гарантия. Сломавшийся cron, заполненный диск, изменившийся DNS или rate limiting ACME регулярно оставляют команды с просроченным сертификатом. Мониторинг — это страховка от того, что «должно было обновиться само».

Что именно мониторить в SaaS

У SaaS обычно не один домен, а целое семейство. Каждый нужно держать под наблюдением:

ДоменЧто ломается при истечении
app.saas.ioВеб-приложение, вход пользователей
api.saas.ioВсе интеграции и SDK клиентов
hooks.saas.ioДоставка вебхуков
*.saas.io (wildcard)Поддомены клиентов на тенантах
app.client-domain.comКастомные домены клиентов (white-label)
CDN.saas.ioСтатика, ассеты фронтенда

Особое внимание — кастомным доменам клиентов. Если ваш SaaS позволяет клиенту подключить app.его-бренд.com, то вы отвечаете и за эти сертификаты тоже. Их истечение — самый частый источник «тихих» инцидентов.

Какие пороги предупреждений выставить

enterno.io по умолчанию предупреждает за 14 дней (warning) и за 3 дня (critical) до истечения. Эта двухступенчатая схема даёт запас:

  1. 14 дней — спокойно запланировать обновление, разобраться, почему автообновление не сработало.
  2. 3 дня — красный флаг: бросайте всё и обновляйте вручную.

Как проверить дату истечения вручную

Прежде чем настроить автоматический мониторинг, полезно понимать, что именно он проверяет. Дату окончания сертификата легко увидеть через openssl:

echo | openssl s_client -servername api.saas.io -connect api.saas.io:443 2>/dev/null \
  | openssl x509 -noout -enddate
# notAfter=Aug 14 12:00:00 2026 GMT

Эта команда выводит точную дату notAfter. Мониторинг enterno.io делает то же самое автоматически по расписанию и шлёт алерт, когда до этой даты остаётся 14 или 3 дня — вам не нужно помнить про сотню доменов.

Алерты в каналы команды

SSL-алерты должны попадать туда, где их точно увидят. enterno.io отправляет в Telegram, Slack, на email, через webhook, в PagerDuty и Jira. Для SaaS-команды разумно:

  • Slack-канал #infra — warning за 14 дней, в рабочее время.
  • PagerDuty — critical за 3 дня, чтобы инцидент эскалировался дежурному.
  • Jira — автоматически завести тикет на обновление, чтобы не потерялось.

Если автообновление в вашем пайплайне настроено, добавьте сюда heartbeat-мониторинг самого cron-задания обновления — тогда вы узнаете о поломке renew-скрипта до того, как сертификат вообще приблизится к истечению.

Многорегиональная проверка и цепочка сертификатов

enterno.io проверяет SSL из России, Европы и США. Это важно не только для доступности, но и для выявления проблем с промежуточными сертификатами: иногда сервер отдаёт неполную цепочку, и одни клиенты её достраивают, а другие — нет. SSL-чекер показывает полную цепочку, протокол, шифр и срок действия.

Частые вопросы

У меня настроен Let's Encrypt с автообновлением. Зачем мониторинг?

Потому что автообновление ломается тихо: упавший cron, заполненный диск, изменившийся DNS, rate-limit ACME. Мониторинг — это независимая проверка факта, а не намерения.

Нужно ли мониторить wildcard-сертификат отдельно по каждому поддомену?

Достаточно мониторить один представительный хост на wildcard плюс отдельно — все кастомные домены клиентов, у которых свои сертификаты.

За сколько дней оптимально предупреждать?

Двухступенчато: 14 дней (плановое) и 3 дня (срочное). Это даёт время разобраться и при этом не пропустить дедлайн.

Что делать прямо сейчас, если сертификат уже истёк?

Обновите его немедленно и проверьте корневую причину. Пошаговый разбор — в статье как исправить истёкший SSL-сертификат.

Проверить SSL и настроить мониторинг — бесплатно →

Смотрите также: полный гайд по мониторингу SSL-сертификатов и мониторинг аптайма.

Проверьте ваш сайт прямо сейчас

Проверить SSL своего сайта →
Другие статьи: SSL/TLS
SSL/TLS
SSL Pinning: что это и когда использовать
16.03.2026 · 176 просм.
SSL/TLS
Лучшие сервисы мониторинга SSL-сертификатов 2026
15.06.2026 · 38 просм.
SSL/TLS
TLS-рукопожатие: пошаговое руководство по установке защищенного соединения
16.03.2026 · 218 просм.
SSL/TLS
Как проверить SSL-сертификат сайта: пошаговое руководство
12.03.2026 · 180 просм.