Ротация SSL — замена cert до истечения. Правильный flow: за 30 дней до expiry получить новый cert, добавить его рядом со старым, hot-reload веб-сервера. Клиенты в процессе handshake не замечают разницы. Let's Encrypt auto-renew через certbot timer; commercial CA — manual renew + replace fullchain.pem + reload.
Ниже: пошаговая инструкция, рабочие примеры, типичные ошибки, FAQ.
Бесплатный онлайн-инструмент — SSL-чекер: результат мгновенно, без регистрации.
certbot renew --dry-run — проверка renew-логики без writecertbot renew или скачайте с commercial CAfullchain.pem + privkey.pem в nginx config pathnginx -t && nginx -s reload (или systemctl reload nginx)| Сценарий | Конфиг |
|---|---|
| Let's Encrypt auto-renew timer | systemctl enable --now certbot.timer # renews + reload nginx hook |
| Force renew до expiry | certbot certonly --force-renewal -d example.com -d www.example.com |
| Renew cert на Nginx Plus | nginx -s reload # zero-downtime worker restart |
| Commercial CA manual | cat cert.pem intermediate.pem > fullchain.pem; cp fullchain.pem /etc/ssl/; nginx -s reload |
| Проверка active cert дат | openssl x509 -in /etc/letsencrypt/live/example.com/fullchain.pem -noout -dates |
Чтобы ротировать SSL-сертификат без downtime, необходимо использовать метод, называемый обновление сертификата с помощью временного сертификата. Это включает в себя установку нового сертификата и обновление конфигурации сервера, не отключая текущий сертификат до момента, когда новый будет полностью готов к использованию. Используйте команду certbot certonly --standalone для получения нового сертификата и systemctl reload nginx для обновления конфигурации без остановки сервера.
Перед началом ротации SSL-сертификата убедитесь, что у вас есть доступ к текущему сертификату и ключам. Важно также проверить, какие сертификаты используются на сервере, и подготовить новый сертификат заранее.
certbot для получения нового сертификата. Например, команда certbot certonly --webroot -w /var/www/html -d yourdomain.com создаст новый сертификат для вашего домена.openssl s_client -connect yourdomain.com:443.systemctl reload nginx для Nginx или systemctl reload apache2 для Apache, чтобы применить изменения.Следуя этим шагам, вы сможете успешно ротировать SSL-сертификат без downtime.
Рассмотрим практический пример ротации SSL-сертификата на сервере Nginx. Предположим, у вас есть сертификат, который нужно обновить.
certbot certonly --webroot -w /var/www/html -d yourdomain.comopenssl s_client -connect yourdomain.com:443nano /etc/nginx/sites-available/yourdomain.comИзмените пути к сертификату и ключу:
ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;nginx -tsystemctl reload nginxПосле выполнения этих шагов ваш новый сертификат будет активирован без downtime, и пользователи смогут продолжать пользоваться вашим сайтом без перебоев.
SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.
Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).
Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.
Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).
Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.
мониторинг SSL-сертификатов
аудит TLS-конфигурации
HTTPS как фактор ранжирования
доверие покупателей
www и поддомены.Strict-Transport-Security заставляет браузер всегда использовать HTTPS.Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.
Зарегистрироваться (FREE)Certbot auto-renew срабатывает при <30 дней до expiry. LE cert валиден 90 дней → renew ~6 раз в год.
Reload (SIGHUP) достаточно — worker processes плавно переинициализируются. Restart = downtime.
Certbot deploy hook: <code>certbot renew --deploy-hook "systemctl reload nginx"</code> или в /etc/letsencrypt/renewal-hooks/deploy/reload-nginx.sh.
Urgent renew + reload. Если <code>certbot renew</code> не работает из-за rate limit: <code>certbot certonly --force-renewal</code>.
Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.