Nova Uptime
稼働モニタリングdomain-monitoringssl-monitoringssl-alerts

SSLアラート付きドメイン監視:2026年版完全セットアップガイド

ドメイン期限、SSL証明書、アップタイムアラートを1か所で設定。メール+WhatsApp通知付き無料ツールスタック。2026年版監視プレイブック。 — Nova Uptimeはアップタイム、SSL、メール健全性、リンク変更を1つのダッシュボードで監視します。

SN
Sumit Nova Uptime
2026年4月29日 · 26 min read
Share:

先週、あるFortune 500企業が約6時間で推定1,400万ドルを失いました。原因は、SSL証明書1枚が静かに期限切れになり、Twitterで顧客が苦情を言い始めるまで誰も気づかなかったというものです。更新メールは送られていました。届いた先は、3月に退職した前任DevOpsリードが管理していた共有受信箱でした。証明書はUTC土曜午前2時14分に期限切れになりました。プラットフォームチームのオンコール担当エンジニアにはページが飛びませんでした——技術的には何も「ダウン」していなかったからです。サイトはトラフィックを処理していました——ただ、有料顧客全員を恐怖で逃げ出させる巨大な赤いブラウザ警告とともにです。

これは珍しい話ではありません。私たちが見る中で最も一般的な、防げたはずの障害であり、クラウドアーキテクチャやコンテナオーケストレーションとはまったく関係ありません。発生する理由は、ほとんどのチームがドメイン監視、SSL監視、アップタイム監視を3つの別々の問題として扱い、3つの別々のツール(あるいは——もっと多いケースとして——誰も)で処理しているからです。本ガイドでは、3層の完全なスタックを通して、各層で何を監視すべきか、そして二度と不意打ちを食らわないように配線する方法を解説します。

3層の監視スタック#

すべての公開ウェブプロパティには、3つの独立した障害モードがあり、それぞれが「サイトがダウンしている」という症状を引き起こすものの、まったく異なる対処を必要とします。

  1. ドメインの期限切れ — 登録が失効し、レジストラがドメインを取り戻し、DNSが解決しなくなります。復旧時間:数時間から数日。コスト:壊滅的。
  2. SSL証明書の期限切れ — DNSはまだ解決し、サーバーもまだ稼働していますが、証明書がnotAfter日付を過ぎています。ブラウザは接続をブロックします。復旧時間:自動化されていれば数分、手動なら数時間。
  3. アップタイム/HTTP障害 — DNSは解決し、証明書は有効ですが、サーバーが5xxを返すか、タイムアウトするか、ホスティングプロバイダーによってパーキングページにリダイレクトされています。復旧時間:根本原因に完全に依存。

3層すべてが必要な理由は、それぞれが他の層では見逃される障害をキャッチするからです。アップタイム監視はサイトが壊れたことを教えてくれます——しかしそれはSSL証明書がすでに期限切れになり、顧客がすでに離脱した後です。ドメイン監視は、ドメインが実際にドロップする数週間前に登録の失効をキャッチします。SSL監視は、ブラウザ警告が出る30日前に証明書の問題をキャッチします。3つすべてを重ねれば階層防御が得られます。どれか1つでも欠けば、トラックが通れるほどの大きな穴ができます。

第1層:ドメイン期限切れ監視#

ドメインの期限切れは、インターネット上で最も防げる障害であり、最も恥ずかしい障害でもあります。Microsoftはやってしまいました。Googleもやってしまいました(2回)。Foursquareもやってしまいました。Sorenson Mediaもやってしまいました。これらすべては、登録されているクレジットカードの期限切れか、更新メールが間違った受信箱に届いたことが原因の数時間にわたる障害でした。

レジストラのメールでは不十分な理由

レジストラは更新リマインダーを送ります。それは、ドメインが最初に登録されたときに登録されていたメールアドレスに送られます——それは多くの場合、3年前に退職した契約社員の個人Gmailです。アドレスが正しい場合でも、レジストラのメールは日常的に迷惑メールに振り分けられ、そうでない場合でも、更新通知を装うフィッシングメールとそっくりに見えるため、人々はそれを削除します。

自動更新がこれを修正するはずですが、自動更新はサイレントに3つの一般的な方法で失敗します。

  • 登録されているクレジットカードが期限切れになる。
  • カードが詐欺の疑いで拒否される(年次更新は発行銀行にとって異常に見えます)。
  • アカウント移行やコントロールパネルの再設計中にレジストラの自動更新トグルが切り替えられる。

外部監視は、唯一信頼できる安全網です。

ドメイン期限の監視方法

プロトコルはRDAP(WHOISの現代的な代替)で、まだRDAPをサポートしていないTLDにはWHOISフォールバックを使います。日次チェックで十分です——ドメインの期限日は分単位で動くものではなく、レジストラはあなたが公開するもの以外に独自の猶予期間を適用します。

# コマンドラインからのクイック手動チェック
curl -s "https://rdap.org/domain/example.com" | jq '.events[] | select(.eventAction=="expiration")'

これをcronジョブにパイプすれば基本的なモニタになります。しかし、アラート閾値、一時的なWHOISエラーのリトライロジック、「期限切れ」と「更新済みだが日付がまだ伝播していない」の違いを検出する方法も必要です。だからこそ、ホスティング型ツールは自前で構築するよりも通常は速いのです。

30/14/7/2日のアラートペース#

4つのポイントでアラートを送ります:30日前(計画)、14日前(行動)、7日前(エスカレーション)、2日前(パニック)。これより頻繁だと疲弊を生みます。これより頻度が低いと、最初のアラートを見逃したときに余裕がありません。

「期限切れ」が実際に意味するもの

ドメインは期限が切れた瞬間にドロップするわけではありません。ほとんどのTLDには複数段階のタイムラインがあります。

  • 期限切れ後0〜30日:猶予期間。ドメインは停止されます(DNSなし)が、登録者は通常の価格で更新できます。
  • 30〜60日:償還期間。更新はまだ可能ですが、$80〜$200の償還料金がかかります。
  • 60〜90日:削除保留。ドメインはロックされ、更新できません。
  • 90日以上:ドロップ。誰でも登録できます。

所有しているドメインが償還期間に入ったら、おそらく支払うことになりますが、まだ復旧できます。削除保留に入ると、プロのドロップキャッチャーと競争することになります。そこまで行かせないでください。

Nova Uptimeは1回限りの検索用に無料のドメイン期限チェッカーを提供しており、ダッシュボードは監視対象のすべてのドメインで日次RDAPを実行し、30/14/7/2日のアラートペースが組み込まれています。

第2層:SSL証明書監視#

SSL証明書の期限切れは、圧倒的な差で「サイトがダウンしている」障害の最も一般的な原因です。Microsoft Teamsは2020年2月、認証証明書の期限切れによりダウンしました。Microsoft Azureは2021年に同じ原因で複数時間の障害を経験しました。Spotifyもやっています。LinkedInもやっています。Google Voiceもやっています。共通点:Let's Encryptの90日ローテーションペースが業界全体に自動化を期待させ、自動化が壊れると、それは静かに壊れます。

証明書で実際に監視すべきもの

証明書にはnotAfter以外にも障害モードがあります。完全な監視では以下をチェックします。

  • notBeforenotAfter — 有効期間ウィンドウ。notAfterの30日、14日、7日、2日前にアラート。
  • 発行者チェーンの完全性 — サーバーは完全な中間チェーンを提供する必要があります。一般的なデプロイバグは、リーフ証明書のみを送信することです。これはChrome(中間をキャッシュする)では動きますが、Firefox、モバイルブラウザ、ほとんどのAPIクライアントでは壊れます。
  • SubjectとSANの一致 — 証明書のSubject Alternative Namesに、リクエストされているホスト名が含まれている必要があります。ワイルドカード証明書は問題ありませんが、ワイルドカードがアクセスしているサブドメインを実際にカバーしていることを確認してください。
  • 暗号スイートとTLSバージョン — TLS 1.0と1.1は非推奨です。TLS 1.2が下限、TLS 1.3が望ましいです。弱い暗号(RC4、3DES)はチェックを失敗させるべきです。
  • OCSPステープル — OCSPステープリングを設定していてそれが動かなくなった場合、有効な証明書でもブラウザ警告が表示されます。

よくあるSSL障害モード#

本番でよく見る障害を頻度の大まかな順で示します。

  1. 証明書の期限切れ。自動更新フックが発火しなかった。cronジョブが死んだ。更新は成功したが、新しい証明書がウェブサーバーにリロードされなかった。
  2. 中間証明書の欠落または誤り。Certbotはチェーンを生成しますが、デプロイスクリプトが上書きするか、リバースプロキシがssl_certificate fullchain.pemの代わりにssl_certificateで設定されています。
  3. ホスト名の不一致。証明書はexample.comに対して発行されたが、ユーザーはwww.example.comにアクセスしており、SANにwwwが含まれていません。
  4. 誤った証明書が提供される(SNIバグ)。サーバーが複数のサイトをホスティングしており、サイト別証明書の代わりにデフォルトvhost証明書が提供されています。
  5. クロックドリフト。サーバーのクロックが数分以上ずれており、有効な証明書が期限切れまたはまだ有効でないように見えます。

推奨チェック頻度

日次が最低限です。収益クリティカルなエンドポイント——決済API、ログインフロー、埋め込みウィジェット——には毎時が妥当です。チェックは安価(エンドポイントごとに1回のTLSハンドシェイク)なので、頻度がボトルネックになることはほとんどありません。

実世界の証明書災害

パターンは毎年繰り返されます。

  • Microsoft Teams、2020年2月 — 期限切れの内部証明書により、ピーク時の業務時間中にTeamsが数時間ダウン。
  • Microsoft Azure、2021年3月 — TLS証明書の期限切れにより、複数のMicrosoftプロパティにわたる認証に影響する14時間の障害。
  • Spotify、複数年 — 期限切れ証明書により、少なくとも3回の公に見える障害。
  • GitHubステータスページ — ある時点で、ステータスページ自体が期限切れの証明書を提供しました。エンジニアが神経質に笑うような種類の皮肉です。

これらの企業はいずれも期限切れを防ぐためのエンジニアリング才能を欠いていたわけではありません。それをキャッチする階層化された監視を欠いていたのです。Nova Uptimeの無料SSL期限チェッカーは単発チェックを行い、ダッシュボードはスケジュールで同じチェックを実行し、30/14/7/2日でアラートします。

第3層:アップタイム/HTTP監視#

アップタイム監視は、最初の2層では予測できないすべてをキャッチする層です:サーバークラッシュ、デプロイ失敗、メモリ暴走、データベース接続プール枯渇、DDoS、ホスティングプロバイダーの問題、DNS設定ミス、CDNキャッシュポイズニング、その他証明書やレジストラレコードに現れない50の障害モード。

何をチェックするか

有用なHTTPモニタは「リクエストは200を返したか」以上をチェックします。具体的には:

  • ステータスコード — 2xxの範囲はすべて健全、3xxはパーキングページへのリダイレクト(疑わしい)の可能性、4xxと5xxは障害です。
  • レスポンスタイム — p95レイテンシの上昇は、データベースまたはCPU問題の先行指標です。
  • レスポンスボディ内容 — 既知の良い文字列をチェックすることが理想的です({"status":"ok"}を返すハートビートエンドポイント)——サーバーが200を返すがアプリケーションがクラッシュしてエラーページを提供している場合をキャッチできます。
  • TLSハンドシェイクの成功 — 第2層の一部を同じチェックに折り込みます。
  • DNS解決時間 — 遅いDNSルックアップはCDNや上流の問題の最初のサインであることが多いです。

マルチリージョンが重要な理由

シングルリージョン監視は誤った安心感を生むマシンです。あなたのモニタはus-east-1にあります。アプリケーションも同様です。AWSにリージョン的問題が発生します。両方がダウンします。モニタは「サイト稼働中」と報告します——モニタが死んでいるからです。マルチリージョン監視(または最小限でもクロスリージョン監視——アプリがus-eastにあるならus-westで監視)は、この種の偽陰性を排除します。

障害スクリーンショットのキャプチャ

チェックが失敗したら、レンダリングされたページのスクリーンショットを撮ります。これはポストモーテムの際に金の重さの価値があります。なぜなら、障害時にユーザーが正確に見たものをキャプチャするからです——ログが何を言ったかではなく、合成モニタが何が起こったと考えているかではなく、画面に何があったかです。502でしたか?メンテナンスページ?真っ白な画面?Cloudflareチャレンジ?2時間ではなく2秒で分かります。

マルチチャネルアラート

メールは必要ですが十分ではありません。メールはバッファリングされ、バッチ化され、無視されます。重要なアラートは、メールをバイパスして人間に直接届く必要があります。Nova Uptimeはメール、WhatsApp(Baileys、メッセージごとの料金なし)、送信Webhook(HMAC署名)をサポートし、PagerDuty、Opsgenie、Slack、その他インシデントツーリングと統合できます。

Nova Uptimeでフルスタックをセットアップ#

実用的なセットアップを、おおよそ実施する順番でエンドツーエンドで示します。

1. ドメインを追加する#

URLをダッシュボードに貼り付けます。Nova Uptimeは即座にHTTPチェック、SSLハンドシェイク、ドメイン期限のRDAP/WHOISルックアップ、ファビコン取得を実行します。4つの結果すべてが60秒以内に表示されます。

2. チェック間隔を設定する#

無料プラン:15分間隔。Proプラン:最短59秒。Agencyプラン:同じ59秒の下限とより高いドメイン制限。ほとんどのマーケティングサイトでは5分チェックで十分です。決済APIには59秒チェックが正しいです。

3. WhatsAppを接続する#

設定 → WhatsAppで、QRコードを一度スキャンします。それ以降、すべてのアラートをWhatsApp番号にメッセージごとの料金なしで送信できます(無料プラン = 1番号、Pro = 3、Agency = 5)。WhatsApp配信はメールよりも速く、無視するのが難しいです。

4. チームのCCメールを追加する#

各ドメインの設定ページで、最大5つのCCメールを追加します。これは特定のドメインに対するチーム配信リストです——ホームページはマーケティングリードに、APIはオンコールエンジニアにアラートする、といった具合に。

5. 意図的な障害でアラートをテストする#

監視を配線した後にできる単一の最良のことは、一度意図的に壊すことです。監視されているURLを存在しないホスト名に向けるか、一時的に証明書を取り消して、アラートが発火するのを見ます。発火しなければ、最も安いタイミングで設定バグを発見したことになります。

6. アップグレードのタイミングを知る#

無料ティアは5ドメインをカバーし、個人プロジェクトと小規模チームには十分です。アップグレードする2つの理由は:(a) 5ドメインを超えた、または(b) 15分未満のチェック間隔が必要、です。価格の詳細は料金ページで。

アラート戦略:疲弊の回避

監視スタックを台無しにする最速の方法は、過剰アラートです。1週間に3回の偽陽性の後、チームのすべてのエンジニアがそのチャネルを無視し始め、今やマイナス価値の監視ができあがります。

3つの経験則:

重大度を階層化する。 30日先のドメイン期限警告は情報提供——メールのみ。7日先のSSL警告は警告——メールとSlackチャネル。サイトが2分以上ダウンはクリティカル——WhatsApp、電話のバズ、オンコールにページ。すべてをすべてのチャネルに送らないでください。

計画されたメンテナンス中は一時停止する。 デプロイ中、データベース移行のプッシュ中、証明書のローテーション中は、メンテナンスウィンドウの間、関連するモニタを一時停止します。Nova Uptimeはドメインごとの一時停止と、設定でのグローバル「すべての通知を一時停止」トグルを持っています。(監視は継続します——通知のみが一時停止されるので、後でログを確認できます。)

継続中のダウンアラートをレート制限する。 ドメインがダウンと報告されたら、毎分通知は不要です。Nova Uptimeは初回アラートを送り、その後ドメインが復旧するまで1時間に1回継続中のリマインダー(メールとWhatsApp)を送ります。復旧アラートは常に即座に発火します。

チャネルでルーティングする。 メールはダイジェスト、週次レポート、情報提供アラートに適しています。WhatsAppは次の5分以内に人間が必要なクリティカルアラートに適しています。Webhookは自動化(PagerDutyインシデントの自動作成、Slackへの投稿、ランブックのトリガー)に適しています。

実世界の災害サイドバー

知っておく価値のあるいくつかの注目すべきケース:

  • LinkedIn、2022年10月 — メッセージ配信に影響したサブドメインでの数時間にわたるSSL期限切れ。メインサイトは稼働を維持しました——問題は顧客が報告するまで隠れていました。
  • Cloudflare、2021年 — 中間証明書チェーンの設定ミスにより、Cloudflareのエッジ証明書サービスを使うサイトに広範な問題が発生。リーフ証明書は有効でしたが、チェーンが不完全でした。
  • GitHub Status、複数のインシデント — ステータスページ自体が、さまざまな時点で期限切れ証明書を提供したり、ドメイン登録の問題を抱えたりしてきました。教訓は、メタ監視(監視が壊れたときに教えてくれるもの)自体も監視が必要なものだということです。

セットアップチェックリスト

このリストを通せば、階層防御が得られます:

  • 自動更新を有効にし、有効なクレジットカードを登録したドメイン
  • 30/14/7/2日アラート付きの外部ドメイン期限監視(レジストラのメールだけではなく)
  • サブドメインとワイルドカードを含むすべての公開ホスト名のSSL証明書監視
  • 5分以下のペース、可能ならマルチリージョンのHTTP/アップタイム監視
  • ビジュアルポストモーテム証拠のための障害スクリーンショットキャプチャを有効化
  • 少なくとも2チャネルにルーティングされたアラート(メール+WhatsAppまたはWebhook)
  • チームが慣れすぎないよう階層化された重大度(情報/警告/クリティカル)
  • ランブックに文書化されたメンテナンス一時停止
  • 四半期ごとのファイアドリル:意図的にチェックを壊し、アラートが発火することを確認
  • アラートメール自体が確実に届くよう、アラートドメイン自体のメールヘルスチェック(——メールヘルスチェッカーを参照)

まとめ

ドメイン監視、SSLアラート、アップタイム監視は、ボルトで留める3つのツールではありません。1つの多層防御戦略の3つの層であり、そのうち1つか2つしか扱わない監視スタックは、最悪のタイミングで必ずあなたを失望させます。Nova Uptimeは、無料プランでメールとWhatsAppアラート付きの3つすべてを1つのダッシュボードで提供します。無料登録して、5分以内に最大5ドメインを監視してください。

関連記事

Monitor Your Website Before It Goes Down

Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.

Start Monitoring Free

関連記事

SSLとセキュリティ2026年2月12日

SSL証明書モニタリング:重要性と実践方法

SSL証明書の有効期限を自動的にモニタリングしましょう。自動更新が失敗する理由、有効期限アラートの設定方法、無料ツールでダウンタイムを防ぐ方法を解説します。 — Nova Uptimeはアップタイム、SSL、メール健全性、リンク変更を1つのダッシュボードで監視します。

32 min read読む
業界別ガイド2026年4月29日

エージェンシー向けアップタイム監視:50以上のクライアントドメインを正気を失わずに管理する

エージェンシーとして50以上のクライアントドメインの稼働状況を監視。タグ、チームアクセス、ホワイトラベルステータスページ、クライアント別請求。2026年版エージェンシープレイブック。 — Nova Uptimeはアップタイム、SSL、メール健全性、リンク変更を1つのダッシュボードで監視します。

24 min read読む
ドメイン管理2026年3月18日

ドメイン有効期限とSSL有効期限:何が違うのか?

ドメイン有効期限とSSL有効期限:それぞれが期限切れになった時に何が起こるのか、決定的な違い、そして両方を効果的に監視する方法を解説します。 — Nova Uptimeはアップタイム、SSL、メール健全性、リンク変更を1つのダッシュボードで監視します。

12 min read読む