Monitoraggio della scadenza del certificato SSL: non scoprirlo dal cliente
Il monitoraggio della scadenza del certificato SSL è il controllo automatico e continuo dei giorni che mancano alla scadenza del certificato TLS di un sito, con un avviso prima che accada. Quando un certificato scade il browser blocca la pagina con un avviso a tutto schermo, il traffico va a zero in pochi minuti e form e checkout smettono di funzionare. Controllare a mano con il lucchetto o con openssl va bene per un sito, ma non regge su un portafoglio clienti. Deltio controlla il certificato di ogni sito che gestisci da un unico account, mostra i giorni alla scadenza e l'issuer, e avvisa a 30 giorni e di nuovo a 1 giorno, da £20 al mese con 14 giorni di prova gratuita.
Nessuno pianifica di far scadere un certificato. Succede lo stesso, quasi sempre sul sito ereditato da un'altra agenzia, di sabato, su un sottodominio che nessuno ricordava. La prima persona ad accorgersene non sei quasi mai tu. È il cliente.
Cosa succede davvero quando un certificato scade
- Il browser blocca la pagina. Chrome mostra
NET::ERR_CERT_DATE_INVALIDa tutto schermo, in rosso. Quasi tutti usano il pulsante per tornare indietro. - Il traffico va a zero in pochi minuti. Linea piatta: la pagina non si carica, quindi lo script di tracciamento non parte nemmeno.
- Form e checkout si fermano. Pagamenti, form contatti, login. Tutto ciò che passa in HTTPS fallisce.
- Googlebot vede un sito irraggiungibile. La scansione crolla e un disservizio di giorni può costare posizioni guadagnate in mesi.
- Le API si rompono in silenzio. Webhook e chiamate server-to-server rifiutano il certificato senza avvisare nessuno.
Perché i certificati scadono anche con l'auto-rinnovo
L'auto-rinnovo è un cron, e i cron falliscono.
- Il cron di rinnovo fallisce in silenzio. Certbot incontra un errore, lo scrive in un log che nessuno legge, ed esce. Novanta giorni dopo il certificato non c'è più.
- La validazione ha smesso di funzionare. La challenge HTTP-01 è bloccata da una regola firewall o da un WAF, oppure il DNS è cambiato e la DNS-01 non risolve più.
- Rinnovato, ma mai ricaricato. Nginx o Apache serve ancora il vecchio certificato dalla memoria: su disco è a posto, nel browser è scaduto.
- La CDN ha un certificato suo. Cloudflare o un load balancer terminano il TLS in edge: il certificato dell'origin è fresco, quello in edge no, o viceversa.
- I sottodomini sono scoperti. Il certificato copre
esempio.comewww.esempio.com. Ashop.,blog.o allo staging non ha pensato nessuno, e ognuno ha la sua scadenza.
Come si controlla un certificato a mano
- Browser: clicca il lucchetto nella barra degli indirizzi, apri i dettagli del certificato, leggi le date di inizio e fine validità.
- Riga di comando: lancia
openssl s_client -connect esempio.com:443 -servername esempio.come leggi le datenotBeforeenotAfter. Senza-servernameottieni il certificato di default dell'IP condiviso, non quello di quell'hostname.
Ora fallo su 30 siti clienti, più i sottodomini, più gli staging, ogni settimana, per sempre. Il controllo manuale regge fino alla settimana in cui sei sotto pressione, che è la settimana in cui qualcosa scade. Vale per tutto il resto: vedi la nostra checklist di monitoraggio per agenzie.
Cosa monitorare, oltre alla data di scadenza
- Giorni rimanenti: il numero su cui agisci. Trenta giorni bastano per aprire un ticket.
- Issuer: chi ha firmato il certificato. Se cambia senza che nessuno te lo dica, è cambiato qualcosa nell'hosting o nella CDN.
- Validità della catena: un certificato può essere in data e comunque non valido. Un intermedio mancante o un hostname che non corrisponde danno la stessa schermata rossa.
Un certificato scaduto è un evento di downtime, quindi trattalo come tale. Come gli alert di uptime.
Come lo fa Deltio
- Giorni alla scadenza e issuer, sito per sito nella dashboard.
- Un avviso a 30 giorni dalla scadenza e un secondo a 1 giorno.
- Notifica immediata se il certificato non è valido, non solo quando è vicino alla scadenza.
- Alert via email e Slack, nella tua lingua e nel tuo fuso orario.
L'SSL sta accanto agli altri controlli che Deltio esegue sullo stesso sito: uptime ogni 10 minuti, scadenza del dominio via RDAP, modifiche a robots.txt e diff della sitemap. Un account, tutti i clienti: che è il punto quando devi monitorare i siti dei clienti e non uno solo tuo.
Parti dal sito che ti dispiacerebbe perdere
Aggiungi un dominio e lascia che Deltio legga il certificato. Poi aggiungi il resto del portafoglio. I piani partono da £24 al mese (£20 annuale), con 14 giorni di prova gratuita.
Domande frequenti
- Cos'è il monitoraggio della scadenza del certificato SSL?
- È il controllo automatico e continuo del certificato TLS/SSL di un sito per sapere quanti giorni mancano alla scadenza e avvisare qualcuno prima che avvenga. Un buon monitoraggio verifica anche che il certificato sia davvero valido: hostname corretto, catena completa, issuer attendibile. Serve perché un certificato scaduto blocca ogni visitatore con un avviso a tutto schermo.
- Come faccio a sapere quando scade un certificato SSL?
- Nel browser clicca il lucchetto nella barra degli indirizzi e apri i dettagli del certificato per leggere la data di scadenza. Da riga di comando lancia `openssl s_client -connect esempio.com:443 -servername esempio.com` e leggi il valore `notAfter`. Entrambi i metodi vanno bene per un sito, nessuno dei due regge su decine di domini clienti.
- Perché un certificato SSL scade se ho l'auto-rinnovo?
- Perché l'auto-rinnovo è un processo pianificato che può fallire in silenzio. Le cause tipiche: un cron di Let's Encrypt fallito, una challenge di validazione bloccata dal firewall o da un cambio DNS, un certificato rinnovato su disco ma mai ricaricato dal web server, e una CDN che tiene un certificato separato in edge. Spesso i sottodomini hanno certificati propri che nessuno rinnova.
- Cosa succede se scade il certificato SSL?
- I browser smettono di mostrare il sito e al suo posto compare un avviso di sicurezza a tutto schermo, quindi il traffico crolla in pochi minuti. Form, login e checkout falliscono, gli script di tracciamento non partono e i crawler dei motori vedono il sito irraggiungibile. Un disservizio lungo costa posizionamento oltre al fatturato perso.
- Deltio mi avvisa prima che scada il certificato SSL?
- Sì. Deltio controlla il certificato di ogni sito monitorato, mostra i giorni alla scadenza e l'issuer, e manda un avviso 30 giorni prima della scadenza e di nuovo 1 giorno prima. Se il certificato non è valido, Deltio ti notifica subito. Gli alert arrivano via email e Slack.
- Quanto costa Deltio?
- Deltio parte da £24 al mese con il piano Starter, oppure £20 al mese pagando annualmente. Il piano Professional costa £49 al mese e l'Enterprise £119 al mese. Tutti i piani includono una prova gratuita di 14 giorni.