Surveillance de l'expiration des certificats SSL : ne l'apprenez pas du client
La surveillance de l'expiration des certificats SSL consiste à vérifier automatiquement et en continu combien de jours restent avant l'expiration du certificat TLS d'un site, et à alerter avant l'échéance. Quand un certificat expire, le navigateur bloque la page avec un avertissement plein écran, le trafic tombe à zéro en quelques minutes, et les formulaires comme les paiements cessent de fonctionner. Vérifier à la main avec le cadenas ou openssl ne tient pas sur un portefeuille clients. Deltio surveille le certificat de chaque site que vous gérez depuis un seul compte, affiche les jours restants et l'émetteur, et alerte à 30 jours puis à 1 jour, à partir de £20 par mois avec 14 jours d'essai gratuit.
Personne ne prévoit de laisser expirer un certificat. Cela arrive quand même, presque toujours sur le site hérité d'une autre agence, un samedi, sur un sous-domaine oublié de tous. La première personne à le remarquer n'est presque jamais vous. C'est le client.
Ce qui se passe vraiment quand un certificat expire
- Le navigateur bloque la page. Chrome affiche
NET::ERR_CERT_DATE_INVALIDen plein écran, en rouge. La plupart des visiteurs font demi-tour. - Le trafic tombe à zéro en quelques minutes. Ligne plate : la page ne se charge jamais, le script de suivi ne part pas.
- Formulaires et paiements s'arrêtent. Achats, formulaires, connexions : tout ce qui passe en HTTPS échoue.
- Googlebot voit un site injoignable. Le crawl s'effondre, et une panne de plusieurs jours peut coûter des positions gagnées en des mois.
- Les API cassent en silence. Webhooks et appels serveur à serveur rejettent le certificat sans avertir personne.
Pourquoi un certificat expire malgré le renouvellement automatique
Le renouvellement automatique est une tâche cron, et les tâches cron échouent.
- Le cron échoue en silence. Certbot rencontre une erreur et l'écrit dans un log que personne ne lit. Quatre-vingt-dix jours plus tard, le certificat a disparu.
- La validation ne fonctionne plus. Le challenge HTTP-01 est bloqué par un pare-feu ou un WAF, ou le DNS a bougé et le challenge DNS-01 ne résout plus.
- Renouvelé, mais jamais rechargé. Nginx ou Apache sert encore l'ancien certificat depuis la mémoire : correct sur le disque, expiré dans le navigateur.
- Le CDN a son propre certificat. Cloudflare ou un load balancer terminent le TLS en périphérie : l'origine est fraîche, l'edge non, ou l'inverse.
- Les sous-domaines ne sont pas couverts. Le certificat couvre
exemple.cometwww.exemple.com. Personne n'a pensé àshop.,blog.ou à la préproduction, chacun avec sa date d'expiration.
Comment vérifier un certificat à la main
- Navigateur : cliquez sur le cadenas dans la barre d'adresse, ouvrez les détails du certificat, lisez les dates de validité.
- Ligne de commande : lancez
openssl s_client -connect exemple.com:443 -servername exemple.comet lisez les datesnotBeforeetnotAfter. Sans-servername, vous obtenez le certificat par défaut de l'IP partagée, pas celui de cet hôte.
Faites maintenant la même chose sur 30 sites clients, plus les sous-domaines, plus les préproductions, chaque semaine, pour toujours. Le contrôle manuel casse la semaine où vous êtes débordé. Idem pour le reste : voyez notre checklist de surveillance pour agences.
Quoi surveiller, au-delà de la date d'expiration
- Jours restants : le chiffre sur lequel vous agissez. Trente jours suffisent pour ouvrir un ticket.
- Émetteur : qui a signé le certificat. S'il change sans prévenir, quelque chose a bougé dans l'hébergement ou le CDN.
- Validité de la chaîne : un certificat peut être dans les dates et rester invalide. Un intermédiaire manquant ou un nom d'hôte qui ne correspond pas donnent le même écran rouge.
Un certificat expiré est un incident de downtime : il doit atteindre un humain, vite. Comme les alertes d'uptime.
Comment Deltio le fait
- Jours avant expiration et émetteur, site par site dans le tableau de bord.
- Un avertissement à 30 jours de l'expiration, et un second à 1 jour.
- Une notification immédiate si le certificat n'est pas valide, pas seulement à l'approche de l'échéance.
- Des alertes par e-mail et Slack, dans votre langue et votre fuseau horaire.
Le SSL côtoie les autres contrôles que Deltio effectue sur le même site : uptime toutes les 10 minutes, expiration du domaine via RDAP, modifications du robots.txt et diff de sitemap. Un compte, tous les clients : l'essentiel quand il faut surveiller les sites des clients.
Commencez par le site que vous détesteriez perdre
Ajoutez un domaine et laissez Deltio lire le certificat, puis le reste du portefeuille. Les offres commencent à £24 par mois (£20 en annuel), avec 14 jours d'essai gratuit.
Questions fréquentes
- Qu'est-ce que la surveillance de l'expiration des certificats SSL ?
- C'est la vérification automatique et continue du certificat TLS/SSL d'un site, pour savoir combien de jours restent avant son expiration et alerter quelqu'un avant l'échéance. Une bonne surveillance vérifie aussi que le certificat est réellement valide : bon nom d'hôte, chaîne complète, émetteur de confiance. Elle existe parce qu'un certificat expiré bloque chaque visiteur derrière un avertissement plein écran.
- Comment savoir quand un certificat SSL expire ?
- Dans le navigateur, cliquez sur le cadenas de la barre d'adresse et ouvrez les détails du certificat pour lire la date de fin de validité. En ligne de commande, lancez `openssl s_client -connect exemple.com:443 -servername exemple.com` et lisez la valeur `notAfter`. Les deux méthodes conviennent pour un site, aucune ne tient sur des dizaines de domaines clients.
- Pourquoi un certificat SSL expire-t-il malgré le renouvellement automatique ?
- Parce que le renouvellement automatique est une tâche planifiée qui peut échouer sans bruit. Causes fréquentes : un cron Let's Encrypt en échec, un challenge de validation bloqué par un pare-feu ou un changement DNS, un certificat renouvelé sur le disque mais jamais rechargé par le serveur web, et un CDN qui conserve un certificat séparé en périphérie. Les sous-domaines ont souvent leurs propres certificats que personne ne renouvelle.
- Que se passe-t-il si un certificat SSL expire ?
- Les navigateurs cessent d'afficher le site et le remplacent par un avertissement de sécurité plein écran, donc le trafic s'effondre en quelques minutes. Formulaires, connexions et paiements échouent, les scripts de suivi ne se déclenchent pas, et les robots des moteurs voient un site injoignable. Une panne longue coûte des positions en plus du chiffre d'affaires perdu.
- Deltio m'alerte-t-il avant l'expiration d'un certificat SSL ?
- Oui. Deltio vérifie le certificat de chaque site surveillé, affiche les jours restants et l'émetteur, et envoie un avertissement 30 jours avant l'expiration puis un autre 1 jour avant. Si le certificat n'est pas valide, Deltio vous notifie immédiatement. Les alertes arrivent par e-mail et sur Slack.
- Combien coûte Deltio ?
- Deltio démarre à £24 par mois avec l'offre Starter, ou £20 par mois en paiement annuel. L'offre Professional est à £49 par mois et Enterprise à £119 par mois. Toutes les offres incluent 14 jours d'essai gratuit.