Чек-лист мониторинга SSL-сертификатов

Просроченный TLS ломает доверие и интеграции. Чек-лист помогает вести hostname, сроки продления, ответственных и алерты до дедлайна.

Все публичные hostname

Apex, www, API-хосты и клиентские поддомены. Wildcard всё равно требует видимости по каждому имени, к которому подключаются клиенты.

Издатель и путь продления

Зафиксируйте: ручное продление, CA или автоматика на CDN/хостинге. Назначьте владельца, который реагирует на алерты.

Запас до напоминания

Алертите с запасом под ваш процесс — короткоживущие сертификаты и ручное продление часто требуют больше времени, чем годовая покупка.

Staging и редиректы

Следите за именами, к которым ходят пользователи и интеграции, включая цепочки редиректов и забытые поддомены.

Алерты нужной команде

Напоминания об expiry — тем, кто управляет DNS, CDN или выпуском сертификата, а не только инженерному каналу.

Вместе с аптаймом сайта

HTTP-мониторы ловят многие живые сбои; SSL-мониторы — класс «скоро истечёт» до предупреждений браузера.

Практический гайд по мониторингу

Пример ниже иллюстративный — значения вымышленные, не данные реальных клиентов.

Чек-лист покрытия сертификатов

  • Apex-домен и www, который вводят пользователи.
  • API, app и admin-поддомены с TLS.
  • Wildcard или CDN-сертификаты, если продление не полностью автоматизировано.
  • Клиентские домены, которыми управляет агентство или MSP.

Workflow продления

  • Инвентарь каждого hostname и того, кто может менять DNS или хостинг.
  • Продлевайте с запасом до того, как алерты об истечении станут аварией.
  • Проверьте живой сертификат после деплоя — не только выпуск у CA.

Когда слать алерты

  • Первое напоминание с запасом под цикл CA, хостинга или согласования с клиентом.
  • Эскалация по мере приближения expiry — одного алерта обычно мало.
  • Поздние алерты — тому, кто может действовать в выходные и праздники.

Частые ошибки

  • Только письма регистратора или CA без внешней проверки.
  • Забытые поддомены с другой цепочкой сертификата.
  • Нет резервного владельца, когда ушёл инженер, ставивший сертификат.

Частые вопросы

Зачем SSL отдельно от аптайма?

Сайт может быть онлайн сегодня, а сертификат истечь завтра. Мониторы expiry дают время на продление.

Агентствам — SSL по каждому клиенту?

Да, когда много клиентских hostname с разными CA и процессами продления в одном workspace.

SitePuls продлевает сертификаты?

Нет. SitePuls алертит о приближающемся сроке. Продление — у CA, CDN или хостинга.

Let's Encrypt с коротким сроком?

Мониторы смотрят фактическую дату not-after на hostname — подстройте напоминания под вашу автоматику.

Сохраняйте доверие HTTPS до просрочки сертификата.

Мониторить истечение SSL Тарифы