Гайд · узкий запрос

Мониторинг SSL-сертификатов: как не пропустить истечение и ошибки TLS.

SSL-сертификаты чаще всего вспоминают в день сбоя, хотя их удобнее контролировать заранее: по срокам, доменам, SAN, автопродлению и ошибкам резолва. Хороший мониторинг SSL не ограничивается напоминанием “через 7 дней истекает”, а показывает рабочий риск до того, как пользователи увидят предупреждение в браузере.

SSL expiryTLS checksSAN / hostRenewals
Открыть Linvex Monitor Мониторинг и бэкапы

Этот материал полезен как для самостоятельного operational-контроля через Linvex Monitor, так и для услуги сопровождения и инфраструктурной поддержки со стороны Linvex.

Когда важноЧто проверятьТипичные ошибкиКак настроитьЧто посмотреть дальшеFAQ

Сценарии

Когда важно.

Основной домен

Сайт и кабинет

Если сертификат истекает или не совпадает с хостом, пользовательская ошибка видна сразу и бьёт по доверию.

Субдомены

API, admin, status

Часто ломаются не публичные витрины, а служебные subdomains, которые тоже должны жить под контролем.

Автопродление

Let’s Encrypt и renewals

Сам факт auto-renew не гарантирует успех: может сломаться DNS, challenge, права на сервере или связка reverse proxy.

Переносы и релизы

Новая инфраструктура

После миграций и ручных вмешательств ошибки сертификата часто проявляются уже на рабочем трафике.

Практика

Что проверять.

Что смотреть в SSL-check

  • сколько дней осталось до expiry
  • доступность host и handshake
  • совпадение сертификата с нужным доменом

Что важно операционно

  • отдельный threshold по дням до истечения
  • разделение SSL от HTTP и domain checks
  • понятная причина инцидента: ssl, dns, connect или hostname mismatch

Что показывать команде

  • историю предыдущих запусков
  • последний успешный срок в днях
  • status page или внутренний статус без смешивания с другими проблемами

Ошибки

Типичные ошибки.

Считать, что auto-renew всё решает

Автопродление полезно, но оно может тихо сломаться после миграции, смены прокси или DNS.

Смешивать SSL с доступностью сайта

HTTP-check может быть зелёным, а отдельный TLS-контур уже идти к истечению или ошибке.

Проверять только боевой домен

Поддомены API, кабинетов, webhook endpoints и status pages тоже должны попадать в контроль.

Процесс

Как настроить.

01

Разделить домены и поддомены

Список SSL-точек нужно собрать отдельно: основной сайт, API, admin, status и всё, что реально используется.

02

Поставить ранние thresholds

Практично начинать предупреждения не за 1-2 дня, а за 14-30 дней, чтобы было время на разбор renew-процесса.

03

Отвязать SSL от общего шума

SSL-инциденты должны быть видны как отдельный тип проблемы, а не теряться среди HTTP и контентных сбоев.

04

Проверять после изменений

После миграции, смены reverse proxy или DNS полезно вручную запускать SSL-check и убеждаться, что новый контур действительно рабочий.

Что посмотреть дальше

Связанные материалы и продуктовые страницы.

Гайд / домены

Контроль срока домена

SSL и домен часто управляются разными людьми, но падают одинаково больно для бизнеса.

Открыть гайд
Гайд / сайты

Мониторинг сайтов кроме HTTP 200

Если SSL уже под контролем, следующий шаг — разделить мониторинг сайта по типам проблем.

Открыть гайд
Продукт / Linvex Monitor

Linvex Monitor

Подходит, если нужно не только знать про SSL, но и держать его в одной панели с сайтами и API.

Открыть панель

FAQ

Частые вопросы по теме.

За сколько дней до expiry лучше предупреждать?

Обычно разумно начинать предупреждение за 14-30 дней, особенно если домены и сертификаты обслуживаются не одной командой.

Достаточно ли monitor только на основной домен?

Нет. Ошибки чаще всплывают на subdomains: API, кабинетах, admin-контурах и служебных точках.

Нужен ли отдельный инцидент по SSL?

Да. Это помогает не смешивать сертификатные риски с HTTP-проблемами и быстрее понимать источник сбоя.

Что если сайт отвечает, но сертификат уже неверный?

Именно для этого SSL-check должен быть отдельным: доступность страницы не заменяет корректный TLS.