Просроченный SSL-сертификат — это не просто иконка предупреждения в браузере. Это полная остановка пользователя. Современные браузеры показывают полностраничный экран с сообщением, что соединение небезопасно, и активно отговаривают идти дальше. Для большинства это конец сессии: они закрывают вкладку и идут к конкуренту. Поисковики тоже это видят, и штрафы по ранжированию могут держаться долго после продления сертификата.

Мониторинг SSL-сертификатов существует ровно для того, чтобы такого сценария не было. Этот гайд объясняет, зачем нужен SSL-мониторинг, почему одного авто-продления недостаточно и как настроить мониторинг, который ловит проблемы до того, как они дойдут до посетителей.

Что такое SSL-сертификаты#

SSL-сертификаты (Secure Sockets Layer), а точнее TLS-сертификаты (Transport Layer Security), — это цифровые удостоверения, которые устанавливают зашифрованное соединение между браузером и веб-сервером. Иконка замка в адресной строке означает, что SSL/TLS-сертификат установлен и соединение зашифровано.

Что делают SSL-сертификаты#

Шифруют данные в пути: всё, что передаётся между браузером и сервером, шифруется, что предотвращает прослушивание паролей, платёжных данных и персональной информации.
Аутентифицируют сервер: сертификат подтверждает, что сервер — действительно тот, за кого себя выдаёт. Это защищает от MITM-атак.
Включают HTTPS: без валидного SSL ваш сайт обслуживается по HTTP (без шифрования). HTTPS — зашифрованная версия, которую ожидают браузеры и поисковики.
Создают доверие пользователей: иконка замка, префикс «https://» и отсутствие предупреждений сигнализируют, что сайт легитимен и безопасен.

Типы SSL-сертификатов#

Три основных уровня валидации:

Domain Validation (DV): подтверждает, что вы контролируете домен. Самый распространённый тип, выдаётся за минуты. Let’s Encrypt предоставляет такие бесплатно.
Organization Validation (OV): проверяет домен и организацию. Выдача — несколько дней.
Extended Validation (EV): самая жёсткая проверка с правовой верификацией. Раньше отображалась зелёной строкой, сейчас большинство браузеров не отличают EV визуально.

Независимо от типа все сертификаты истекают и должны продляться.

Почему SSL-сертификаты истекают#

SSL-сертификаты намеренно проектируются с истечением. Это особенность безопасности, не ограничение.

Логика безопасности

Снижение урона при компрометации ключа: если приватный ключ скомпрометирован, ущерб ограничен сроком действия сертификата.
Эволюция криптографии: стандарты улучшаются. Истечение заставляет регулярно обновляться.
Подтверждение владения доменом: продление требует повторной верификации владения, защищая от ситуации, когда домен поменял владельца, а старый сертификат всё ещё активен.
Ограничения отзыва: механизмы отзыва (CRL, OCSP) несовершенны. Короткий срок — естественный «запасной парашют».

Сроки действия

Индустрия последовательно сокращает максимальные сроки:

До 2015: до 5 лет
2015–2018: максимум 3 года
2018–2020: максимум 2 года
С 2020: максимум 398 дней (около 13 месяцев)
Ближайшие изменения: индустрия движется к 90-дневным сертификатам. Let’s Encrypt уже выдаёт 90-дневные по умолчанию.

Короче срок — чаще продления — больше шансов, что что-то пойдёт не так.

Что происходит при истечении сертификата

Последствия мгновенные и тяжёлые.

Предупреждения браузера

Каждый крупный браузер показывает полностраничное предупреждение:

Chrome: «Your connection is not private», код NET::ERR_CERT_DATE_INVALID. Чтобы продолжить, нужно нажать «Advanced» → «Proceed to site (unsafe)», что большинство не делают.
Firefox: «Warning: Potential Security Risk Ahead» с похожим обходом.
Safari: «This Connection Is Not Private» с опциями вернуться/посмотреть детали.
Edge: похоже на Chrome (тот же движок).

Это не тонкие индикаторы. Это полноэкранные блокеры, чтобы пользователь не дошёл до сайта. Исследования показывают, что 85% и более посетителей уходят при появлении SSL-предупреждения.

Влияние на трафик и выручку

Влияние почти тотальное:

Прямые посетители видят предупреждение и уходят.
Поисковики могут обнаружить просрочку при обходе и начать понижать сайт.
Реферальный трафик теряется — посетители попадают на предупреждение, а не на контент.
Ссылки в письмах ведут к тому же предупреждению, ломая все email-рассылки.
API-интеграции по HTTPS могут начать падать, ломая зависящие приложения.

Штрафы по SEO#

Google использует HTTPS как сигнал ранжирования с 2014. Истёкший сертификат не просто убирает позитивный сигнал — он активно вредит:

Crawl-ошибки: Googlebot логирует ошибки, обход становится менее эффективным.
Падение позиций: страницы могут опуститься в выдаче.
Задержка восстановления: даже после продления требуется время, пока поисковики переобходят и переоценивают.
Потеря веса бэклинков: если сторонние сайты ссылаются на ваши HTTPS-URL, а там ошибка, ссылочный вес может снизиться.

Сломанные интеграции

Современные веб-приложения почти всё делают через HTTPS:

Платежи: Stripe и другие требуют HTTPS. Истекший сертификат — нет платежей.
OAuth и SSO: SSO-потоки требуют валидных HTTPS. Просрочка ломает вход через Google, Microsoft и т. п.
API-потребители: любой сторонний клиент API получит SSL-ошибку и упадёт.
Webhooks: сервисы, шлющие вебхуки на ваши HTTPS-эндпоинты, будут падать и могут перестать ретраить.

Почему авто-продления недостаточно

Большинство провайдеров SSL предлагают авто-продление, а Let’s Encrypt вместе с Certbot построены вокруг автоматических 90-дневных продлений. Кажется, проблема решена. Это не так.

Авто-продление падает чаще, чем думают, и при падении последствия те же, что и без процесса продления.

Типичные сценарии сбоя авто-продления

Изменения DNS#

Валидация часто требует DNS-записей, указывающих на ваш сервер. Если вы сменили DNS-провайдера, обновили nameserver, добавили CDN или поменяли записи, валидация может не пройти.

Изменения конфигурации сервера

Certbot должен либо положить файл валидации на ваш веб-сервер, либо ответить на HTTP-челлендж. Если вы мигрировали с Apache на Nginx, перешли на контейнеры или сменили конфигурацию — у инструмента может не быть нужного доступа.

Сбои оплаты

Для платных сертификатов (OV/EV у коммерческих CA) авто-продление требует валидного способа оплаты. Просрочка карты, недостаток средств, изменение реквизитов — продление тихо падает. Уведомление от CA может потеряться в общем ящике.

Проблемы провайдера

Сами CA могут испытывать сбои, менять API или политики. Если ваше продление пришлось на сбой — оно падает. Rate limiting со стороны CA в часы пиковой нагрузки тоже может задержать или отбить продление.

Баги Certbot и ACME-клиентов#

Софт авто-продления может сломаться, особенно после системных обновлений. Обновление ОС поменяло версию Python и сломало Certbot. Ребилд Docker-контейнера не сохранил конфиг продления. Cron-задача отключена на время обслуживания и не включена обратно.

Multi-domain и wildcard#

Сертификаты с несколькими доменами или wildcard добавляют сложности. Если хоть один домен не пройдёт валидацию — падает всё. Wildcard требует DNS-01-челленджа и API-доступа к DNS-провайдеру. Истёк API-ключ или сменился API — продление сломано.

Проблема тихого сбоя

Самая опасная черта авто-продления — оно падает тихо. Попытка не удалась, ошибка ушла в файл, который никто не читает, а сертификат продолжает обратный отсчёт. Без мониторинга вы узнаете о проблеме только когда сертификат реально истечёт и пользователи увидят предупреждение.

К этому моменту ущерб уже идёт.

Как работает SSL-мониторинг#

SSL-мониторинг — это непрерывный автоматический процесс, который проверяет ваши сертификаты и алертит до того, как пользователи заметят.

Что проверяет SSL-мониторинг#

Полноценная система проверяет несколько аспектов сертификата и HTTPS-конфигурации:

Срок действия

Самая базовая проверка: когда истекает сертификат? Системы отслеживают дату и алертят на настраиваемых порогах. Например, за 30, 14, 7 и 1 день до истечения. Это даёт несколько шансов поймать упавшее авто-продление.

Валидность сертификата

Помимо срока:

Дата начала уже наступила? (Сертификат с будущей датой ещё не валиден.)
Не отозван ли сертификат CA?
Выдан ли он доверенным CA?

Цепочка сертификатов

SSL опирается на цепочку доверия. Мониторинг проверяет:

Полная и корректно упорядоченная цепочка
Включены все промежуточные сертификаты. Отсутствие промежуточного даёт ошибки на части устройств/браузеров — одна из самых сложных в отладке без мониторинга.
Корневой сертификат доверен в trust store браузеров и ОС.

Протокол и шифры

Помимо самого сертификата:

Версии протокола: сервер всё ещё принимает устаревшие TLS 1.0/1.1? Современная практика — минимум TLS 1.2, лучше TLS 1.3.
Cipher suites: используются ли надёжные шифры? Слабые могут быть проэксплуатированы даже при валидном сертификате.
HSTS: посылает ли сервер заголовки HSTS, защищая от downgrade-атак?

Mixed content#

Даже с валидным сертификатом обслуживание ресурсов (картинок, скриптов, стилей) по HTTP даёт «mixed content». Мониторинг может ловить, когда HTTPS-страницы тянут небезопасные HTTP-ресурсы.

Цикл мониторинга

Типичная проверка:

Система инициирует TLS-handshake с вашим сервером.
Получает сертификат и цепочку.
Валидирует: текущий ли валиден, не истёк, не отозван, доверенный CA?
Проверяет полноту и порядок цепочки.
Оценивает версию протокола и cipher suites.
Записывает дату истечения и считает оставшиеся дни.
При нарушении или преодолении порога — алерт.
Все результаты логируются для истории и отчётов.

На что обращать внимание в SSL-мониторинге#

При выборе решения смотрите на:

Заблаговременные предупреждения

Инструмент должен алертить заранее. Настраиваемые пороги:

30 дней: первое предупреждение. Время разобраться с авто-продлением и продлить вручную.
14 дней: эскалация, если первое не разобрано.
7 дней: срочно — кто-то должен действовать.
1–3 дня: критично.

Несколько уровней — гарантия, что не проскочит.

Обнаружение невалидных сертификатов

Отдельно от срока — мгновенный алерт, если сертификат стал невалидным:

Отозван CA
Несоответствие домена (сертификат не покрывает домен)
Недоверенный CA
Неполная цепочка
Self-signed на продакшене

Эти ситуации дают те же предупреждения, что и истёкший, и требуют той же срочности.

Непрерывный мониторинг, не разовая проверка

Разовая проверка — статус на момент. Непрерывный мониторинг (каждые минуты/часы) ловит развивающиеся проблемы:

Вчера валидный сертификат сегодня может быть отозван.
Изменение конфига сервера ломает цепочку.
Обновление балансировщика отдаёт не тот сертификат.

SSL-мониторинг Nova Uptime работает в каждом uptime-чеке, поэтому сертификат валидируется при каждой проверке — каждые 30 секунд или каждые 5 минут. Полный набор возможностей — на странице фич.

Валидация цепочки

Многие проблемы — именно в цепочке, а не в листовом сертификате. Инструмент должен валидировать всю цепочку — от вашего домена через промежуточные до корневого CA.

Распространённая беда — отсутствующий промежуточный сертификат. Это даёт сбои на части устройств (особенно старых Android и некоторых API-клиентах), при этом на десктопных браузерах всё «нормально». Без полной проверки цепочки можно узнать только от клиента.

Алерты и уведомления

Алерты должны быть:

Многоканальные: email, SMS, Slack, вебхуки — чтобы достичь нужного человека где угодно.
Настраиваемые: разные пороги — разная серьёзность. 30 дней — email, 3 дня — поднять дежурного.
Дедуплицированные: вас должны информировать, не спамить. Хорошие системы шлют 1 алерт на порог, а не один и тот же на каждой проверке.

История

История сертификатов помогает:

Подтвердить, что продления прошли по графику.
Отслеживать изменения (issuer, срок, домены).
Видеть паттерны проблем.
Иметь доказательства для аудита.

Настройка SSL-мониторинга: практический гайд#

Прямой процесс запуска:

Шаг 1. Инвентаризация сертификатов#

Перечислите все домены и поддомены с SSL:

Главный сайт (example.com, www.example.com)
Поддомены приложения (app.example.com, api.example.com)
Маркетинговые поддомены (blog.example.com, landing.example.com)
Внутренние инструменты (admin.example.com, staging.example.com)

Не забудьте про SaaS-интеграции, кастомные email-домены, API-эндпоинты — у них могут быть свои сертификаты.

Шаг 2. Добавьте домены в мониторинг#

Добавьте каждый домен в инструмент. В Nova Uptime это просто URL — система автоматически валидирует SSL в каждом health-чеке, без дополнительной настройки.

Шаг 3. Настройте пороги алертов#

Хорошая стартовая конфигурация:

30 дней: email команде инфраструктуры
14 дней: email с повышенным приоритетом
7 дней: алерт тимлиду или engineering manager
3 дня: разбудить дежурного

Шаг 4. Проверьте авто-продление#

По каждому сертификату убедитесь, что авто-продление настроено и работает:

Certbot (или ваш инструмент) запланирован до истечения.
У инструмента есть нужные права и креды.
Запустите dry-run: certbot renew --dry-run.
Уведомления CA приходят на почтовый ящик, который читают.

Шаг 5. Протестируйте цепочку алертов#

Намеренно вызовите тестовый алерт (большинство инструментов умеют) и убедитесь, что он доходит нужным людям нужными каналами. Алерт, который никто не видит, не лучше отсутствия алерта.

SSL-мониторинг как часть стратегии безопасности#

SSL-мониторинг — один из элементов общей стратегии безопасности и надёжности сайта. Он работает вместе с:

Мониторингом доступности: ловит, когда сайт лежит — из-за серверов, DNS или другого.
Мониторингом email health: проверяет, что аутентификация (SPF, DKIM, DMARC) корректна для защиты от спуфинга и доставляемости.
Мониторингом истечения домена: следит за регистрацией домена, защищая от потери самого домена.
Мониторингом производительности: ловит деградацию до того, как она станет полным сбоем.

Nova Uptime объединяет всё это в одной платформе. Каждый добавленный домен автоматически мониторится по uptime, валидности SSL и времени отклика. Email health и истечение домена — дополнительные слои защиты. Полный набор — на странице фич.

Цена отсутствия мониторинга

Сравните: платный SSL у коммерческого CA — $50–$200/год. Бесплатный у Let’s Encrypt — $0. Сервис мониторинга uptime и SSL — несколько долларов в месяц максимум.

А теперь сравните с ценой просроченного сертификата:

Часы или дни потерянного трафика и выручки, пока проблема обнаруживается и решается
Недели восстановления SEO, пока поисковики переоценивают сайт
Постоянная потеря посетителей-первопроходцев, увидевших предупреждение
Стоимость поддержки от существующих клиентов, не сумевших попасть на сайт
Потенциальные нарушения SLA или compliance

Сравнение не близкое. SSL-мониторинг стоит ничтожной доли от стоимости одного «сертификатного» сбоя.

Не ждите предупреждения в браузере. Поставьте мониторинг, получайте заблаговременные алерты и держите сертификаты валидными. Ваши посетители, ранжирование и выручка скажут вам спасибо.