Nova Uptime
Guide di settoreSaaSSSL-certificatessecurity

Monitoraggio dei certificati SSL per SaaS: prevenire la scadenza che distrugge la fiducia dei clienti

Un certificato SSL scaduto trasforma il tuo SaaS in una minaccia. Scopri come monitorare la scadenza, automatizzare i rinnovi e mantenere la fiducia.

SN
Sumit Nova Uptime
1 marzo 2026 · 12 min read
Share:

L'emergenza scadenza SSL: quando il tuo sito sicuro diventa insicuro#

Un cliente naviga sul tuo prodotto SaaS un martedì mattina. Il suo browser mostra un errore terrificante: "La tua connessione non è sicura. Il certificato di questo sito è scaduto."

Il pensiero immediato del cliente: "I miei dati sono al sicuro? Sono stati hackerati?" Chiude la scheda e non torna.

Per un'azienda SaaS, la scadenza di un certificato SSL non è solo un problema tecnico—è una catastrofe per la fiducia dei clienti. Un singolo certificato scaduto può danneggiare mesi di reputazione del brand in pochi minuti.

La portata del problema: il 65% dei siti web sperimenta a un certo punto la scadenza del certificato SSL. Per le aziende SaaS con più sottodomini e deployment regionali, il rischio è ancora più alto. Ogni sottodominio (api.tuodominio.com, staging.tuodominio.com, eu.tuodominio.com) ha bisogno del proprio certificato o di un wildcard che li copra tutti.

Perdine uno e la tua API diventa non affidabile. Le richieste dei clienti falliscono. Le loro integrazioni si rompono. I ticket di supporto piovono.

Perché i certificati SSL SaaS sono diversi#

1. Più sottodomini e certificati

Un sito web tradizionale potrebbe avere un solo certificato SSL: tuodominio.com

Un'azienda SaaS ne ha molti:

  • tuodominio.com (sito principale)
  • app.tuodominio.com (applicazione SaaS)
  • api.tuodominio.com (API pubblica)
  • admin.tuodominio.com (pannello admin)
  • webhooks.tuodominio.com (ricevitore webhook)
  • cdn.tuodominio.com (distribuzione CDN)
  • eu.tuodominio.com (deployment regionale)

Ogni sottodominio può avere il proprio certificato, oppure puoi usare un certificato wildcard (*.tuodominio.com) che copre tutti i sottodomini. In entrambi i casi, hai più punti di fallimento.

2. Certificati su più cloud provider

Molte aziende SaaS effettuano deployment su AWS, Google Cloud, Azure:

  • AWS Certificate Manager gestisce i certificati per le istanze us-east-1
  • Cloudflare gestisce i certificati per il CDN
  • Let's Encrypt gestisce i certificati per i componenti self-hosted
  • Una CA esterna gestisce i certificati per i sistemi legacy

Gestire la scadenza tra questi sistemi è caotico senza un monitoraggio centralizzato.

3. I fallimenti dell'auto-rinnovo sono silenziosi

La maggior parte dei certificati si auto-rinnova tramite servizi come Let's Encrypt. Ma l'auto-rinnovo può fallire silenziosamente:

  • Let's Encrypt invia richiesta di rinnovo al tuo server
  • Configurazione DNS errata causa fallimento di validazione
  • Il firewall blocca il traffico di rinnovo
  • Lo store dei certificati è pieno, il rinnovo non può scrivere il nuovo certificato

Il tuo certificato "scade tra 5 giorni" ma nessuno se ne accorge finché i clienti non segnalano "connessione non sicura".

4. Complessità dei certificati wildcard

I certificati wildcard (*.tuodominio.com) coprono tutti i sottodomini ma richiedono validazione DNS. Se la validazione DNS fallisce durante il rinnovo, il certificato wildcard scade e tutti i sottodomini diventano non affidabili.

La cascata di scadenza dei certificati SSL#

Giorno 0: il certificato sta per scadere#

Il tuo certificato scade tra 30 giorni. Se monitorato, ricevi un avviso email. Altrimenti, non ricevi nulla.

Giorni 0-29: conto alla rovescia silenzioso#

Nessuno agisce. L'avviso è sepolto nelle email. Il team di engineering non lo vede. Non è un problema ad alta priorità.

Giorno 30: il certificato scade#

Alle 00:00 UTC della data di scadenza, il tuo certificato è invalido. I browser mostrano "connessione non sicura" per tutti gli utenti.

Ore 1-2: i clienti se ne accorgono#

I primi clienti navigano sul tuo SaaS. Vedono l'avviso di sicurezza. Chiudono la scheda. I ticket di supporto iniziano ad arrivare: "tuodominio.com è stato hackerato?"

Ore 2-4: inizia il churn dei clienti#

Più clienti vedono l'avviso. Alcuni contattano il supporto. Altri se ne vanno. Se stanno valutando il tuo SaaS, questo chiude la questione—non si fidano di te.

Ore 4-8: il team di engineering scopre il problema#

Il tuo team di engineering finalmente nota il problema (attraverso reclami dei clienti o quando provano ad accedere alla produzione). Si affrettano a rinnovare il certificato.

Ore 8-12: certificato rinnovato e distribuito#

Il certificato viene rinnovato. Ma propagarlo a tutti i bilanciatori di carico, nodi edge CDN e API richiede tempo. Regioni diverse vengono coperte in momenti diversi.

Ore 12-24: danni alla reputazione#

Anche dopo il rinnovo del certificato, i clienti ricordano lo spavento. La fiducia è danneggiata. Appaiono post sui social media: "Si può fare affidamento su [SaaS]? Hanno lasciato scadere il certificato SSL."

Perché la scadenza dei certificati avviene negli ambienti SaaS#

Motivo 1: processi di rinnovo manuale#

I certificati richiedono rinnovo manuale ogni 1-2 anni. Qualcuno deve ricordarsene. Quel qualcuno viene promosso, si licenzia o è in vacanza quando arriva il momento del rinnovo.

Motivo 2: fallimenti dell'auto-rinnovo#

Il rinnovo automatico di Let's Encrypt fallisce silenziosamente se:

  • La validazione DNS non riesce a raggiungere l'endpoint di validazione
  • Il firewall blocca il traffico di rinnovo
  • Lo storage del server è pieno
  • I permessi dello store dei certificati sono errati

Il rinnovo fallisce, nessuno viene avvisato, il certificato scade.

Motivo 3: complessità multi-cloud#

Gestisci certificati su AWS (Certificate Manager auto-rinnova), Cloudflare (rinnovo separato) e Let's Encrypt (ennesimo sistema). Si rinnovano in momenti diversi. Non hai un singolo posto per tracciare la scadenza.

Motivo 4: sottodomini dimenticati#

Monitori app.tuodominio.com e api.tuodominio.com. Ma webhooks.tuodominio.com è un nuovo sottodominio creato il trimestre scorso. Ha il proprio certificato che hai dimenticato. Scade.

Motivo 5: fallimenti di rinnovo dei certificati wildcard#

Il rinnovo del certificato wildcard richiede validazione DNS. Se la validazione DNS fallisce (record DNS configurato male, firewall che blocca la validazione), il rinnovo fallisce silenziosamente.

Il ciclo di vita del certificato SaaS: best practice#

1. Inventaria tutti i certificati

Crea una lista master di ogni certificato che gestisci:

Domain                          Provider        Expiry          Auto-Renew?
yourdomain.com                  AWS ACM         2027-03-15      Yes
app.yourdomain.com              AWS ACM         2027-03-15      Yes
api.yourdomain.com              AWS ACM         2027-03-15      Yes
*.eu.yourdomain.com             Cloudflare      2026-08-20      Yes
cdn.yourdomain.com              Let's Encrypt   2026-04-10      Yes
webhooks.yourdomain.com         Let's Encrypt   2026-06-05      Yes
old-api.yourdomain.com          GoDaddy         2025-09-01      No (*)

(*) Vecchio endpoint API ancora attivo ma programmato per la dismissione tra 3 mesi. Certificato non impostato per auto-rinnovo perché è EOL.

2. Centralizza il monitoraggio della scadenza

Non affidarti agli avvisi email di ogni provider. Crea una dashboard di monitoraggio unificata:

# Check certificate expiry
openssl s_client -connect yourdomain.com:443 -servername yourdomain.com | \
  openssl x509 -noout -dates

Oppure usa strumenti di monitoraggio dei certificati che controllano tutti i domini quotidianamente.

3. Imposta avvisi multi-livello

Avvisa a intervalli diversi:

  • 90 giorni prima della scadenza: avviso di pianificazione (bassa priorità)
  • 30 giorni prima della scadenza: azione richiesta (media priorità)
  • 14 giorni prima della scadenza: urgente (alta priorità, assegna proprietario)
  • 7 giorni prima della scadenza: critico (svegliare qualcuno)
  • 1 giorno prima della scadenza: emergenza (se non ancora rinnovato)

4. Testa il processo di rinnovo trimestralmente

Non aspettare il giorno della scadenza per testare il tuo processo di rinnovo. Ogni trimestre:

1. Renew a test certificate manually
2. Deploy it to a test environment
3. Verify HTTPS works correctly
4. Verify certificate chain is complete
5. Document any issues found
6. Update runbooks if needed

5. Implementa rinnovi automatici

Usa servizi con auto-rinnovo:

  • AWS Certificate Manager: auto-rinnova 60 giorni prima della scadenza
  • Cloudflare: auto-rinnova i certificati
  • Let's Encrypt: implementa il rinnovo automatico (certbot con cron job)
  • ZeroSSL: auto-rinnovo disponibile

6. Monitora il successo dell'auto-rinnovo

L'auto-rinnovo funziona solo se viene effettivamente completato. Configura il monitoraggio:

// Monitor auto-renewal success
Daily check:
  1. Query certificate details
  2. Compare renewal_date to current_date
  3. If renewal_date is stale (hasn't changed in 30+ days), alert
  4. If certificate expiry is < 30 days and renewal_date hasn't updated, alert

Questo intercetta i fallimenti silenziosi del rinnovo prima che causino la scadenza.

Fallimento di un certificato SSL nel mondo reale: case study#

Azienda: SaaS B2B con 500 clienti enterprise, $5M ARR

Setup: Tre sottodomini:

  • app.company.com (SaaS principale)
  • api.company.com (API pubblica)
  • webhooks.company.com (ricevitore webhook)

Tutti e tre i certificati gestiti da AWS Certificate Manager con auto-rinnovo abilitato.

Il problema: il certificato api.company.com è scaduto un martedì mattina.

Perché è successo:

  • AWS ACM ha tentato l'auto-rinnovo 60 giorni prima della scadenza
  • La validazione DNS per api.company.com è fallita a causa di una recente migrazione DNS
  • Il sottodominio di validazione (_acme-challenge.api.company.com) non esisteva dopo la migrazione
  • AWS ha fallito silenziosamente il rinnovo senza avvisare
  • 60 giorni dopo, il certificato è scaduto

L'impatto:

  • Tutte le chiamate API dalle applicazioni dei clienti hanno iniziato a restituire "validazione del certificato fallita"
  • Le integrazioni dei clienti si sono rotte
  • I clienti non potevano sincronizzare i dati con il SaaS
  • Il supporto è stato sommerso da reclami "API è giù"
  • Il fatturato è stato effettivamente sospeso (i clienti non potevano usare il servizio)

La scoperta: il team di supporto clienti l'ha scoperto 4 ore dopo investigando i reclami di "outage API".

La soluzione:

  • Rinnovato il certificato manualmente
  • Sistemati i record di validazione DNS
  • Aggiunto monitoraggio per tutti e tre i certificati
  • Testato il processo di auto-rinnovo trimestralmente

L'apprendimento: "Pensavamo che l'auto-rinnovo AWS fosse a prova di proiettile. Si auto-rinnovava perfettamente fino al cambio del DNS. Avevamo bisogno di un monitoraggio che validasse effettivamente se il rinnovo era stato completato, non che assumesse che funzionasse."

Checklist per il monitoraggio dei certificati#

Pre-deployment#

☐ All domains and subdomains listed in certificate inventory
☐ Certificate provider chosen and configured
☐ Auto-renewal tested and verified working
☐ Renewal success monitoring implemented
☐ Alert recipients configured (engineering + ops)
☐ Certificate chain validated (cert + intermediate + root)
☐ HTTPS works for all domains (no mixed content warnings)

Durante l'operatività#

☐ Daily: Auto-renewal monitoring (verify renewals are completing)
☐ Weekly: Certificate inventory reviewed (new subdomains added)
☐ Monthly: SSL Labs test score checked (A+ rating maintained)
☐ Quarterly: Renewal process tested manually (catch issues early)
☐ Annually: Certificate provider audit (still best option?)

Protocollo di emergenza#

If certificate expires:
  1. Page on-call engineer immediately
  2. Renew certificate from provider dashboard
  3. Deploy to production environment
  4. Verify HTTPS works with curl/browser
  5. Check SSL Labs score (should be A+)
  6. Notify customers (transparency)
  7. Post-mortem: Why did monitoring miss this?

Considerazioni specifiche SaaS sui certificati SSL#

1. Certificati regionali vs wildcard

Wildcard (*.tuodominio.com):

  • Pro: un certificato copre tutti i sottodomini
  • Contro: il fallimento del rinnovo significa che tutti i sottodomini sono non affidabili

Certificati regionali:

  • Pro: il fallimento è isolato in una regione
  • Contro: più complessità, più certificati da gestire

Raccomandazione: usa wildcard per la maggior parte dei deployment, certificati regionali solo per separazione geografica critica.

2. Subject Alternative Names (SANs)

Invece di un certificato per dominio, usa SAN per coprire più domini in un certificato:

Certificate Subject: yourdomain.com
Subject Alt Names:
  - app.yourdomain.com
  - api.yourdomain.com
  - webhooks.yourdomain.com
  - eu.yourdomain.com

Un singolo certificato copre più sottodomini, più facile da gestire.

3. Certificate pinning (avanzato)

Le aziende SaaS ad alta sicurezza possono implementare il certificate pinning:

Mobile app is pre-configured with expected certificate.
If server returns different certificate, connection fails.
Prevents man-in-the-middle attacks.

Ma il pinning richiede una rotazione delle chiavi attenta—i certificati pinned non possono essere ruotati senza l'aggiornamento dell'app.

4. Supporto domini custom

Se il tuo SaaS permette ai clienti di usare domini custom (es. dashboard.cliente.com), hai bisogno di:

  • Meccanismo per i clienti per aggiungere record CNAME
  • Creazione automatica del certificato (Let's Encrypt ACME DNS validation)
  • Rinnovo automatico del certificato
  • Monitoraggio del certificato per tutti i domini dei clienti

Questo aggiunge significativa complessità operativa. Pianifica con attenzione.

Automatizzare il monitoraggio dei certificati#

Opzione 1: strumenti di monitoraggio dei certificati#

Servizi come:

  • SSL Labs: API gratuita SSL Labs controlla il grade del certificato
  • crt.sh: log di certificate transparency (monitoraggio gratuito)
  • Certly: monitoraggio dedicato dei certificati
  • Nova Uptime: monitoraggio SSL integrato (incluso con il monitoraggio uptime)

Opzione 2: monitoraggio fai-da-te#

#!/bin/bash
# Check certificate expiry for critical domains

DOMAINS=("yourdomain.com" "app.yourdomain.com" "api.yourdomain.com")
ALERT_DAYS=30

for domain in "${DOMAINS[@]}"; do
  expiry=$(openssl s_client -connect $domain:443 \
    -servername $domain 2>/dev/null | \
    openssl x509 -noout -dates | \
    grep "notAfter" | cut -d= -f2)

  expiry_epoch=$(date -d "$expiry" +%s)
  current_epoch=$(date +%s)
  days_remaining=$(( ($expiry_epoch - $current_epoch) / 86400 ))

  if [ $days_remaining -lt $ALERT_DAYS ]; then
    echo "ALERT: $domain expires in $days_remaining days"
    # Send to monitoring system
  fi
done

Esegui questo script quotidianamente via cron, invia i risultati alla tua dashboard di monitoraggio.

Il monitoraggio dei certificati SSL di Nova Uptime#

Nova Uptime combina il monitoraggio dei certificati SSL con il monitoraggio uptime:

  1. Rilevamento automatico dei certificati: rileva tutti i certificati SSL sui tuoi domini
  2. Avvisi di scadenza: avverte 30, 14, 7 e 1 giorni prima della scadenza
  3. Validazione della catena: verifica la catena completa del certificato (certificato + intermedi + root)
  4. Tracciamento del grade: monitoraggio del rating A+ di SSL Labs
  5. Monitoraggio storico: 90 giorni di storia dello stato del certificato

Con Nova Uptime ottieni il monitoraggio SSL automatico integrato con i tuoi controlli uptime—nessuno strumento separato necessario.

Riepilogo: proteggere il tuo SaaS con il monitoraggio dei certificati SSL#

La scadenza dei certificati SSL è silenziosa, ma l'impatto è catastrofico. Un singolo certificato scaduto può danneggiare la fiducia dei clienti e il fatturato in poche ore.

Il tuo piano d'azione:

  1. Inventaria tutti i certificati: elenca ogni dominio e certificato che gestisci
  2. Abilita l'auto-rinnovo: configura Let's Encrypt, AWS ACM o auto-rinnovo del provider
  3. Verifica il successo del rinnovo: non assumere che l'auto-rinnovo funzioni—monitoralo
  4. Imposta avvisi multi-livello: avvisa 90/30/14/7/1 giorni prima della scadenza
  5. Testa trimestralmente: testa manualmente il processo di rinnovo ogni trimestre
  6. Centralizza il monitoraggio: usa strumenti come Nova Uptime per monitorare tutti i certificati in un unico posto

I tuoi certificati SSL sono il fondamento della fiducia dei clienti. Non lasciarli scadere silenziosamente. Usa il tier gratuito di Nova Uptime per monitorare la scadenza SSL su tutti i tuoi domini, integrato con il monitoraggio uptime per visibilità infrastrutturale completa.

Un certificato rinnovato in ritardo = fiducia del cliente distrutta per sempre.

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

Articoli correlati

Guide di settore1 mar 2026

Gestione del Rinnovo del Dominio per Startup SaaS: Non Lasciare Mai Più Scadere un Dominio

Dominio perso = business perso. Scopri come le aziende SaaS gestiscono i rinnovi del dominio su più registrar e automatizzano il tracking della scadenza.

11 min readLeggi
Guide di settore28 feb 2026

Email Deliverability per Iscrizioni SaaS: Perché le Tue Email di Verifica Finiscono nello Spam

Email di verifica SaaS che falliscono = conversioni perse. Scopri perché le email di conferma vanno nello spam e l'impatto sul funnel di iscrizione.

14 min readLeggi
Guide di settore28 feb 2026

Monitoraggio uptime per applicazioni SaaS: la guida completa alla salute dell'infrastruttura

Il downtime SaaS costa $5.600 al minuto (Gartner). Playbook multi-tenant: API, webhook, SLA. Target 99,95% senza prezzi enterprise.

15 min readLeggi