Er is geen rust voor de webmaster. Er is altijd wel iets te doen om web sites gezond te houden en in optimale omstandigheden te laten werken.
Monitor bijvoorbeeld de SSL-certificaten om te controleren of deze goed werken en niet verlopen zijn.
De X.509 Public Key-certificaten – of, zoals we ze allemaal noemen, SSL/TLS-certificaten – hebben een vervaldatum. Na die datum zullen de web sites of applicaties waarvoor ze werken eenvoudigweg stoppen met het verzenden en ontvangen van gegevens through een Safe Sockets Layer (of kortweg SSL), waardoor een beveiligingswaarschuwing wordt weergegeven aan uw bezoekers of gebruikers. Daarom moet u er als webmaster zeker van zijn dat uw certificaten niet verlopen. Dat kan een vervelende taak zijn als u veel websites of webapplicaties moet onderhouden. Het is dus een goed idee om iemand (of iets) de vervaldatums voor u te laten controleren en u te waarschuwen wanneer die datums naderen.
Je denkt misschien dat je niet zo lui bent. Ik bedoel, als je een whiteboard aan de muur van je kantoor hebt hangen, kun je gewoon de vervaldatums noteren met een rode marker en een paar uitroeptekens toevoegen als het tijd is om de certificaten te vernieuwen, toch?
Het punt is dat certificaatmonitoring meer inhoudt dan alleen het periodiek controleren van de vervaldata. Er zijn meer certificaten dan u misschien denkt (niet alleen degene die u voor uw website heeft gekocht) en het is niet alleen de vervaldatum die moet worden gecontroleerd, omdat certificaten kunnen worden ingetrokken zonder dat u het merkt. Bovendien kan uw website worden geblokkeerd als uw certificaat niet goed genoeg is of wordt gewijzigd vanwege een mogelijke malware-aanval.
Laten we dus eens kijken naar alle zaken die verband houden met certificaatmonitoring.
Introductie van de keten van vertrouwen
Om betrouwbaar te zijn, moet een SSL-certificaat traceerbaar zijn naar de vertrouwde root waarop het is ondertekend. Dat wil zeggen dat het through een vertrouwensketen moet worden gekoppeld aan een vertrouwde certificeringsinstantie (CA). De vertrouwensketen bestaat uit drie delen: het basiscertificaat, het tussenliggende certificaat en het servercertificaat.
* Het rootcertificaat is eigendom van een CA, die het zorgvuldig in een vertrouwensopslag bewaart.
* De tussenliggende certificaten blijven tussen het basiscertificaat en het servercertificaat en fungeren als tussenpersoon daartussen. Er kunnen veel tussenliggende certificaten in een vertrouwensketen zijn, maar er moet er minstens één zijn.
* Het servercertificaat wordt uitgegeven voor het specifieke domein dat moet worden opgenomen in de vertrouwensketen.
Wanneer u een SSL-certificaat koopt, krijgt u ook een bundel, inclusief een tussenliggend rootcertificaat. Wanneer iemand op uw web site aankomt, downloadt zijn of haar browser uw certificaat en volgt de vertrouwensketen terug naar het vertrouwde basiscertificaat. Als de browser de keten niet kan volgen, waarschuwt hij de gebruiker voor een mogelijk veiligheidsrisico.
De vertrouwensketen van uw certificaat kan fouten veroorzaken als iets niet right is geconfigureerd. Veelvoorkomende problemen zijn onder meer dat een vertrouwde CA het certificaat niet heeft uitgegeven, dat de tussenliggende certificaten niet right zijn geïnstalleerd of dat uw server niet right is geconfigureerd met uw SSL-certificaat. Dit zijn enkele van de problemen die instruments voor certificaatbewaking voor u kunnen controleren.
Hieronder geven we een aantal van de meest populaire instruments voor certificaatmonitoring weer die u kunnen bevrijden van de taak om uw SSL/TLS-certificaten te monitoren.
Dotcom-monitor
Of u nu één persoon bent die een paar web sites beheert, of een onderneming die duizenden web sites beheert, de SSL-bewakingsservice van Dotcom-Monitor kan u waarschuwen voordat certificaten verlopen en ervoor zorgen dat u kostbare downtime en foutmeldingen vermijdt.
Dotcom-Monitor heeft alles wat je nodig hebt om SSL-certificaten te monitoren in één eenvoudig te gebruiken dashboard. Met slechts een paar klikken in minuten kunt u vervalherinneringen instellen, de certificeringsautoriteit controleren, de verificatie van algemene namen monitoren, het gebruik van SSL-certificaten volgen en SSL-intrekking voorkomen!
StatusCake
Als u op zoek bent naar een SSL-monitoringoplossing die al het harde werk voor u doet, dan is StatusCake de perfecte device.
Het bewaakt uw SSL-certificaat voor u, waarschuwt u wanneer het bijna verloopt of is verlopen, en helpt u ervoor te zorgen dat het right is ingesteld. Beter nog: StatusCake kan worden geïntegreerd met 18 verschillende platforms, zodat u kunt kiezen hoe u uw waarschuwingen ontvangt en wie in uw crew deze moet ontvangen.
Weet u niet zeker welk impact SSL-monitoring op uw web site zou hebben?
De device van StatusCake elimineert het risico dat uw transactieproces mislukt, uw zoekresultaten in Google dalen en uw klanttevredenheid een klap krijgt, allemaal met hun SSL-monitoring.
Dat is niet alles. StatusCake heeft een clever SSL-algoritme dat uw SSL-score berekent op foundation van uw certificaatconfiguratie. Ze sturen u een gedetailleerd SSL-rapport, zodat u eenvoudig eventuele problemen in de backend kunt identificeren die van invloed kunnen zijn op uw web site en uiteindelijk op uw bedrijfsresultaten.
Sematekst
Sematext biedt controles op het verlopen van SSL-certificaten aan als onderdeel van hun Synthetics Monitoring. Niet alleen de geldigheid, maar ook de certificaatketen bewaken, wijzigingen volgen en nog veel meer.
U kunt een melding krijgen voordat het certificaat verloopt en ook in het geval van eventuele fouten through meerdere kanalen zoals Slack, Twilio, Zapier, VictorOps, aangepaste hooks en vele anderen. Het helpt u downtime van uw web site als gevolg van certificaatproblemen te voorkomen. Daarnaast krijgt u een gedetailleerd rapport wanneer het bijgehouden certificaat verandert.
Samen met het SSL/TLS-certificaat kunt u de volledige web site controleren op prestaties, en de prijs begint vanaf $ 2 per HTTP-monitor. Het beste deel is dat u betaalt per gebruik.
Betere uptime
Higher Uptime is een moderne monitoringservice die SSL- en synthetische monitoringopties, incidentbeheer en statuspagina’s combineert in één product.
Het instellen duurt 3 minuten. Daarna krijgt u een telefoontje, e-mail of Slack-waarschuwing wanneer uw SSL-certificaat bijna verloopt of niet goed werkt. De belangrijkste kenmerken zijn:
- Onbeperkte telefoonoproepwaarschuwingen
- HTTP(s), Ping, SSL & TLD-vervaldatum, Cron-jobcontroles
- Gemakkelijke oproepplanning
- Schermafbeeldingen en foutenlogboeken van incidenten
- Slack, Groups, Heroku, AWS en meer dan 100 andere integraties
Sappen
SSL-certificaatmonitoring is slechts een van de vele opties die Sucuri biedt binnen zijn dienstenpakket voor het scannen van web sites om mogelijke malwareproblemen op te sporen.
Wanneer de service detecteert dat er wijzigingen zijn aangebracht in het SSL-certificaat van uw web site, stuurt deze u onmiddellijk een waarschuwing zodat u de nodige acties kunt ondernemen. De volledige malwaredetectieservice van Sucuri is betalend, met abonnementen vanaf $ 199,99 per jaar.
Naast SSL-certificaten scant het ook op malware, Website positioning-spam, zwarte lijststatus, DNS en uptime-monitoring.
Op neer
Updown biedt een eenvoudige en goedkope websitemonitoringservice, inclusief SSL-tests. Zodra u de service heeft ingesteld, ontvangt u waarschuwingen in geval van ongeldige of verlopende certificaten. Updown brengt alleen kosten in rekening voor wat u gebruikt, zonder dat u vaste maandelijkse of jaarlijkse kosten hoeft te betalen.
U koopt credit en stelt een monitor in die werkt totdat het tegoed is verbruikt. Wil je bijvoorbeeld twee web sites per minuut checken, dan kost dat zo’n € 1,17 per maand. De gedekte waarschuwingssystemen zijn onder meer SMS, Webhook, Zapier, Telegram en Slack.
Oh jee!
Oh jee! doet meer dan alleen uw domeincertificaat monitoren.
Het voert een volledige validatie uit van de vertrouwensketen van uw certificaten, waarbij al uw tussenliggende certificaten worden gecontroleerd. Als het een wijziging in een van de certificaten detecteert, zal het u een schoon rapport presenteren waarin de situatie voor en na wordt vergeleken om te zien of er een wijziging heeft plaatsgevonden in een van de gedekte domeinen. Deze service zoekt ook naar oude SHA-1-, ingetrokken of gewantrouwde basiscertificaten, die er allemaal voor kunnen zorgen dat een website niet beschikbaar is.
HTTPS-agent
Ashish Kumar biedt free of charge een waarschuwingsservice aan voor het verlopen van certificaten, alleen maar omdat hij het net veiliger wil maken en zijn binnenkort te verschijnen product HTTPS Cop wil publiceren, een full set instruments om alle soorten problemen met de SSL-certificaten van een web site te controleren.
Ook al is het volledige product nog niet uitgebracht, de alertservice is wel volledig operationeel. U hoeft alleen maar de URL van uw web site en uw e-mailadres in te voeren en u ontvangt twee weken voordat uw certificaten verlopen een melding. U kunt zoveel websites toevoegen als u wilt monitoren.
Sleutelkast
Bij Keychest Enterprise draait alles om digitale certificaten. De service biedt wekelijkse e-mailrapporten en dashboardsamenvattingen voor al uw certificaten, waarbij dankzij de wereldwijde database voortdurend nieuwe certificaten worden ontdekt. Het biedt ook verlengingsautomatisering met CA’s van derden en Let’s Encrypt-beheer voor bedrijven.
Bij Keychest kunt u ook certificaten aanschaffen met een uniek 4-stappen aankoopproces met prijsberekening. De aankoop omvat het genereren en downloaden van CSR voor Linux en Home windows en volledige automatisering van verlengingen.
CertificaatMonitor
CertsMonitor biedt aan om alle problemen met uw certificaten op te lossen voordat ze gênante waarschuwingen voor een “onveilige verbinding” gaan geven aan u, bezoekers. De service omvat onder meer het bijhouden van uw Let’s Encrypt-cron, het oplossen van fouten voordat de certificaten verlopen en in één oogopslag zien of uw domeincertificaat is ingetrokken of niet right is geconfigureerd.
U kunt herinneringen ontvangen per e-mail of through Slack. De service is free of charge voor het monitoren van maximaal 2 domeinen en kost $ 29 per jaar voor maximaal 30 domeinen.
Certificaatvervalmonitor
Certificaatvervalmonitor is een open-sourcehulpprogramma dat de vervaldatum van TLS-certificaten openbaar maakt als Prometheus-statistieken voor degenen die er de voorkeur aan geven hun eigen instruments te bouwen. Het hulpprogramma kan worden gebouwd op een Docker-image of een Kubernetes-cluster.
Het mission omvat overvloedige documentatie om toegang te krijgen tot een Prometheus-eindpunt voor monitoring, een eenvoudige gezondheidscontrole uit te voeren en toegang te krijgen tot vele meters en tellers die de essentiële statistieken van de certificaten tonen.
Laten we monitoren
Wanneer uw certificaten vernieuwd moeten worden of niet werken, waarschuwt Let’s Monitor u free of charge. De dienst kan through e-mailberichten of sms notificaties sturen naar meerdere contacten binnen een crew. Het bewaakt ook de uptime en prestaties om ervoor te zorgen dat de web sites responsief blijven en dat hun gegevens gecodeerd blijven. Om wereldwijde toegang tot uw beveiligde website te garanderen, maakt Let’s Monitor gebruik van wereldwijd gedistribueerde servers.
Daarnaast biedt Let’s Monitor andere geavanceerde monitoringdiensten, zoals onder meer prestaties, beschikbaarheid, bedreigingen en connectiviteit. Om met al deze diensten aan de slag te gaan, hoeft u zich alleen maar te registreren met een e-mailadres en een wachtwoord.
TrackSSL
TrackSSL is een webservice die uw SSL-certificaten regelmatig controleert op veelvoorkomende fouten. Om het te gaan gebruiken, hoeft u alleen maar een account aan te maken en uw certificaten toe te voegen through de webinterface. U ontvangt e-mailmeldingen wanneer de service problemen met de certificaten detecteert, zoals een dreigende vervaldatum of verkeerd geconfigureerde hosts.
TrackSSL zorgt ervoor dat wijzigingen in de infrastructuur geen invloed hebben op uw certificaten en stuurt u meldingen wanneer er een wijziging wordt gedetecteerd. U kunt de meldingen configureren volgens uw behoeften, met de mogelijkheid om te integreren met Slack en meldingen te ontvangen in uw #devops-kanaal. Prijsplannen beginnen bij $ 12 per jaar en dekken maximaal 20 domeinen.
Vervaldatum van SSL-certificering controleren
SSL-cert-check is een free of charge en open-source shellscript dat u vanuit cron kunt uitvoeren om te rapporteren over verlopende SSL-certificaten. Het kan een waarschuwing per e-mail verzenden of waarschuwingen registreren through Nagios. Het hulpprogramma wordt geleverd met verschillende opties die u kunt bekijken met de optie “-h”.
Als u meerdere certificaten op een webserver beheert, kan SSL-cert-check worden gebruikt om de vervaldatum voor elk ervan af te drukken. Als u geen lokale toegang hebt tot de certificaatbestanden, kunt u de netwerkconnectiviteitsoptie van het hulpprogramma gebruiken om de vervaldatums van de certificaten van een stay server te extraheren.
Als u veel servers moet monitoren, kunt u hun namen en poortnummers in een bestand plaatsen en vervolgens een SSL-certificaatcontrole uitvoeren op dat bestand.
Conclusie
Als u verlopen certificaten niet vroeg genoeg opmerkt, kunnen de gevolgen zeer pijnlijk zijn. De hier besproken instruments bieden meldingsfuncties waarmee u problemen kunt voorkomen, waardoor u gemoedsrust krijgt en u wordt bevrijd van alle zorgen die verband houden met uw websitecertificaten.