Для веб-мастера нет покоя. Всегда есть чем заняться, чтобы поддерживать здоровье веб-сайтов и их работу в оптимальных условиях. Например, следить за SSL-сертификатами, чтобы убедиться, что они работают правильно и срок их действия не истек.
Сертификаты открытого ключа X.509 – или, как мы все их называем, сертификаты SSL/TLS – имеют срок действия. По истечении этого срока веб-сайты или приложения, на которых они работают, просто перестанут отправлять и получать данные через уровень защищенных сокетов (или сокращенно SSL), показывая предупреждение о безопасности вашим посетителям или пользователям. Поэтому вам, как веб-мастеру, необходимо следить за тем, чтобы срок действия ваших сертификатов не истекал. Это может быть утомительной задачей, если у вас много сайтов или веб-приложений, которые необходимо поддерживать, поэтому хорошей идеей будет поручить кому-то (или чему-то) проверять даты истечения срока действия сертификатов и предупреждать вас, когда эти даты приближаются.
Вы можете подумать, что вы не настолько ленивы. То есть, если у вас в офисе на стене висит доска, вы можете просто записать даты истечения срока действия красным маркером и добавить пару восклицательных знаков, когда придет время обновить сертификаты, верно? Дело в том, что мониторинг сертификатов – это не просто периодическая проверка сроков действия. Существует больше сертификатов, чем вы думаете – не только тот, который вы купили для своего сайта – и проверять нужно не только срок действия, потому что сертификаты могут быть отозваны незаметно для вас. Кроме того, ваш сайт может быть заблокирован, если ваш сертификат недостаточно хорош или изменен из-за возможной атаки вредоносного ПО. Итак, давайте рассмотрим все, что связано с контролем сертификатов.
Введение цепочки доверия
Чтобы SSL-сертификату можно было доверять, его необходимо отследить до доверенного корня, на котором он был подписан. Иными словами, он должен быть связан с доверенным центром сертификации (ЦС) через цепочку доверия. Цепочка доверия состоит из трех частей: корневого сертификата, промежуточного сертификата и сертификата сервера.
- Корневой сертификат принадлежит ЦС, который тщательно хранит его в хранилище доверия.
- Промежуточные сертификаты находятся между корневым сертификатом и сертификатом сервера, выступая в качестве посредника между ними. В цепочке доверия может быть много промежуточных сертификатов, но должен быть хотя бы один.
- Сертификат сервера выдается для конкретного домена, который должен быть включен в цепочку доверия.
Когда вы покупаете SSL-сертификат, вы также получаете пакет, включающий промежуточный корневой сертификат. Когда кто-то заходит на ваш сайт, его браузер загружает ваш сертификат и следует по цепочке доверия обратно к доверенному корневому сертификату. Если браузер не может проследить цепочку, он предупреждает пользователя о возможной угрозе безопасности. Цепочка доверия вашего сертификата может вызвать ошибки, если что-то было настроено неправильно.
К распространенным проблемам относится то, что доверенный центр сертификации не выпустил сертификат, что промежуточные сертификаты не установлены должным образом или что ваш сервер неправильно настроен с вашим SSL-сертификатом. Это некоторые из проблем, которые могут проверить инструменты мониторинга сертификатов. Ниже мы приводим список наиболее популярных инструментов мониторинга сертификатов, которые могут избавить вас от необходимости следить за вашими SSL/TLS-сертификатами.
Dotcom-Monitor
Будь вы один человек, управляющий несколькими веб-сайтами, или корпоративная компания, управляющая тысячами сайтов, служба SSL-мониторинга Dotcom-Monitor может уведомить вас об истечении срока действия сертификатов и позволит избежать дорогостоящих простоев и сообщений об ошибках.
Dotcom-Monitor имеет все необходимое для мониторинга SSL-сертификатов в одной, простой в использовании панели. Вы можете установить напоминания об истечении срока действия, проверить центр сертификации, контролировать проверку общего имени, отслеживать использование SSL-сертификата и предотвращать отзыв SSL-сертификата всего несколькими щелчками мыши за считанные минуты!
StatusCake
Если вы ищете решение для мониторинга SSL, которое сделает всю тяжелую работу за вас, то StatusCake – идеальный инструмент. Он будет следить за вашим SSL-сертификатом, предупреждая вас, когда срок его действия истечет или уже истек, и помогая вам убедиться, что он настроен правильно. Кроме того, StatusCake интегрируется с 18 различными платформами, позволяя вам выбирать, как получать уведомления и кто из вашей команды должен их получать.
Не знаете, как мониторинг SSL повлияет на ваш сайт? Инструмент StatusCake устраняет риск нарушения процесса транзакций, падения рейтинга в Google и снижения удовлетворенности клиентов – все это благодаря SSL-мониторингу. И это еще не все. StatusCake имеет интеллектуальный SSL-алгоритм, который рассчитывает ваш SSL-балл, основываясь на настройках вашего сертификата. Они отправят вам подробный SSL-отчет, чтобы вы могли легко определить любые проблемы в бэкенде, которые могут повлиять на ваш сайт и, в конечном счете, на вашу прибыль.
Sematext
Sematext предлагает проверку срока действия SSL-сертификата как часть своего мониторинга Synthetics Monitoring. Не только срок действия, но и мониторинг цепочки сертификатов, отслеживание изменений и многое другое.
Вы можете получать уведомления до истечения срока действия сертификата, а также в случае возникновения ошибок по нескольким каналам, таким как Slack, Twilio, Zapier, VictorOps, пользовательские крючки и многие другие. Это поможет вам избежать простоя вашего сайта из-за проблем с сертификатом. Кроме того, вы получите подробный отчет при каждом изменении отслеживаемого сертификата. Наряду с SSL/TLS-сертификатом, вы можете отслеживать производительность всего сайта, цена начинается от 2 долларов за HTTP-монитор. Самое приятное, что вы платите по мере использования.
Better Uptime
Better Uptime – это современный сервис мониторинга, который объединяет в одном продукте опции SSL и синтетического мониторинга, управление инцидентами и страницы состояния.
Настройка занимает 3 минуты. После этого вы получаете звонок, электронное письмо или уведомление в Slack, когда срок действия вашего SSL-сертификата истекает или он не работает должным образом. Основные возможности:
- Неограниченное количество оповещений по телефону
- HTTP(s), Ping, истечение срока действия SSL и TLD, проверка заданий Cron
- Простое планирование телефонных звонков
- Скриншоты и журналы ошибок инцидентов
- Slack, Teams, Heroku, AWS и 100+ других интеграций
Sucuri
Мониторинг SSL-сертификатов – это лишь одна из многих опций, которые Sucuri предлагает в рамках своего пакета услуг по сканированию веб-сайтов для обнаружения возможных проблем с вредоносным ПО.
Когда служба обнаружит, что в SSL-сертификат вашего сайта были внесены изменения, она немедленно отправит вам уведомление, чтобы вы могли принять необходимые меры. Полная услуга Sucuri по обнаружению вредоносных программ является платной, тарифные планы начинаются от $ 199,99 в год. Помимо SSL-сертификатов, она также сканирует на наличие вредоносных программ, SEO-спама, состояния черных списков, DNS и отслеживает время работы.
Updown
Updown предлагает простую и недорогую услугу мониторинга веб-сайтов, включая SSL-тестирование. Как только вы настроите услугу, вы начнете получать предупреждения в случае недействительных или истекающих сертификатов. Updown платит только за то, что вы используете, без необходимости вносить фиксированную ежемесячную или ежегодную плату.
Вы покупаете кредиты и устанавливаете монитор, который работает до тех пор, пока не израсходует кредит. Например, если вы хотите проверять два веб-сайта каждую минуту, это обойдется вам примерно в €1,17 в месяц. Системы оповещения включают SMS, Webhook, Zapier, Telegram и Slack.
Oh Dear!
Oh Dear! делает больше, чем просто мониторинг сертификата вашего домена.
Он выполняет полную проверку цепочки доверия ваших сертификатов, проверяя все промежуточные сертификаты. Если он обнаружит изменения в каком-либо из сертификатов, он представит вам чистый отчет, сравнивая ситуацию до и после, чтобы увидеть, были ли изменения в каком-либо из охваченных доменов. Эта служба также ищет старые SHA-1, отозванные или недоверенные корневые сертификаты, которые могут стать причиной недоступности сайта.
HTTPS Cop
Ашиш Кумар предлагает услугу оповещения об истечении срока действия сертификата бесплатно, просто потому, что он хочет сделать веб более безопасным и прорекламировать свой скоро выходящий продукт HTTPS Cop, полный набор инструментов для проверки всех типов проблем с SSL-сертификатами веб-сайта.
Несмотря на то, что полноценный продукт еще не выпущен, служба оповещения уже работает. Вам нужно только ввести URL вашего сайта, адрес электронной почты, и вы начнете получать уведомления за две недели до истечения срока действия сертификатов. Вы можете добавить столько сайтов, сколько хотите, чтобы за ними следили.
Keychest
Бизнес Keychest – это все о цифровых сертификатах. Сервис предлагает еженедельные отчеты по электронной почте и сводки с приборной панели для всех ваших сертификатов, а также постоянное обнаружение новых сертификатов благодаря глобальной базе данных. Он также предлагает автоматизацию обновления сертификатов со сторонними центрами сертификации и управление Let’s Encrypt для предприятий.
С Keychest вы также можете приобрести сертификаты с помощью уникального 4-шагового процесса покупки с расчетом цены. Покупка включает генерацию и загрузку CSR для Linux и Windows и полную автоматизацию продления.
CertsMonitor
CertsMonitor предлагает устранить все проблемы с вашими сертификатами до того, как они начнут выдавать вам, посетителям, неловкие предупреждения о “небезопасном соединении”. Услуга включает в себя отслеживание вашего Let’s Encrypt cron, исправление ошибок до истечения срока действия сертификатов, а также мгновенное обнаружение отозванного или неправильно настроенного сертификата вашего домена.
Вы можете получать напоминания по электронной почте или через Slack. Услуга бесплатна для мониторинга до 2 доменов и стоит $ 29 в год для мониторинга до 30 доменов.
Certificate Expiry Monitor
Certificate Expiry Monitor – это утилита с открытым исходным кодом, которая раскрывает срок действия сертификатов TLS в виде метрик Prometheus для тех, кто предпочитает создавать собственные инструменты. Утилита может быть построена на образе Docker или кластере Kubernetes. Проект содержит обширную документацию, позволяющую получить доступ к конечной точке Prometheus для мониторинга, выполнить простую проверку состояния, а также получить доступ к множеству датчиков и счетчиков, показывающих жизненно важную статистику сертификатов.
Let’s Monitor
Если ваши сертификаты требуют обновления или не работают, Let’s Monitor бесплатно оповестит вас об этом. Сервис может отправлять уведомления нескольким контактам в команде с помощью сообщений электронной почты или SMS. Он также отслеживает время работы и производительность, чтобы гарантировать, что веб-сайты остаются отзывчивыми, а их данные остаются зашифрованными. Чтобы обеспечить доступ к вашему защищенному сайту по всему миру, Let’s Monitor использует глобально распределенные серверы.
Кроме того, Let’s Monitor предлагает другие расширенные услуги мониторинга, такие как мониторинг производительности, доступности, угроз, подключения и др. Чтобы начать пользоваться всеми этими услугами, вам нужно просто зарегистрироваться, указав адрес электронной почты и пароль.
TrackSSL
TrackSSL – это веб-служба, которая регулярно проверяет ваши SSL-сертификаты на наличие распространенных ошибок. Чтобы начать им пользоваться, вам нужно просто создать учетную запись и добавить свои сертификаты через веб-интерфейс. Вы будете получать уведомления по электронной почте, когда служба обнаружит проблемы с сертификатами, например, истекающий срок действия или неправильно настроенные хосты.
TrackSSL гарантирует, что изменения в инфраструктуре не повлияют на ваши сертификаты, отправляя вам уведомления при каждом обнаружении изменений. Вы можете настроить уведомления в соответствии с вашими потребностями, с возможностью интеграции со Slack и получения уведомлений в ваш канал #devops. Стоимость тарифных планов начинается от $12 в год и охватывает до 20 доменов.
SSL Certification Expiration Checker
SSL-cert-check – это бесплатный сценарий оболочки с открытым исходным кодом, который можно запускать из cron, чтобы сообщать об истекающих SSL-сертификатах. Он может отправлять предупреждение по электронной почте или регистрировать оповещения через Nagios. Утилита поставляется с несколькими опциями, которые можно просмотреть с помощью опции “-h”.
Если вы управляете множеством сертификатов на веб-сервере, SSL-cert-check можно использовать для печати даты истечения срока действия каждого из них. Если у вас нет локального доступа к файлам сертификатов, вы можете использовать опцию сетевого подключения утилиты, чтобы извлечь даты истечения срока действия сертификатов с живого сервера. Если вам необходимо контролировать большое количество серверов, вы можете поместить их имена и номера портов в файл, а затем запустить SSL-cert-check по этому файлу.
Заключение
Если вы не обнаружите просроченные сертификаты достаточно рано, последствия могут быть очень болезненными. Рассмотренные здесь инструменты предлагают функции уведомления, которые помогут вам избежать проблем, обеспечивая душевное спокойствие и освобождая вас от всех забот, связанных с сертификатами вашего сайта.
