← すべての記事
モニターの種類 · 読了時間 8 分

SSL証明書監視:2026年向け実践ガイド

A glowing padlock icon overlaying a stream of network data.

期限切れSSL証明書は、業界で最も防ぎやすい障害です。昨日まで証明書は有効で、監視も静かなままだったのに、今朝になって全てのブラウザが赤い警告ページを表示する。自動更新は人が認めるよりも頻繁に失敗し、90日間のLet's Encrypt証明書では更新ジョブの失敗に対する余裕がほとんどありません。このガイドでは、SSL監視の実際の仕組み、アラート対象、そして証明書による問題を回避する方法を解説します。

自動更新時代でもSSL障害が起こり続ける理由

自動更新はSSLの有効期限切れ問題を解決していません。障害が起こる場所を変えただけです。certbotやacme.shのジョブは実行されますが、リロード手順が無効化されているため、新しい証明書がnginxによって読み込まれません。Kubernetesイングレスは更新されますが、シークレットが古い証明書を提供し続けるポッドに伝播されません。マルチドメインSAN証明書は更新されますが、ホスト名の1つがリクエストから削除され、期限切れの別の証明書が提供されます。

外部監視は、内部の状態を信頼しないため、これらすべてを検出します。実際のブラウザが見るものを見るのです。つまり、ライブのTLSハンドシェイクで提示される、公開ホスト名の公開ポートで提供される証明書です。正しい証明書が提供されていなければ、cronのログが何を言っていようと、モニターはそれを把握します。

SSLモニターが実際にチェックする内容

適切に構築されたSSLモニターは、プローブごとに6つのことを行います。ほとんどのツールはそのうち一部のみをアラートとして表面化し、残りは埋もれてしまいます。

  • 有効期限までの日数、設定可能な警告期間で表示されるヘッドラインメトリクスです。
  • ホスト名の一致、例えばexample.comに対して有効な証明書がapi.example.comで提供されている場合に即座に発火します。
  • 証明書チェーンの検証、一部のブラウザでは動作するがモバイルでは失敗する中間証明書の欠落を検出します。
  • 自己署名および信頼されていない発行者の検出、本物の証明書を誤って取得してしまったステージング環境用です。
  • TLSバージョン、廃止されたプロトコル(TLS 1.0、TLS 1.1)が完全にブラウザから削除される前にフラグを立てます。
  • サブジェクト代替名のリスト、SAN証明書が更新中にホスト名を静かに失う場合に役立ちます。

実際に機能する警告期間の設定方法

7日間の警告期間は短すぎます。90日間ではアラート疲れを引き起こします。実用上有効な数字は、最初の警告に30日、エスカレーションに7日です。

30日あれば、更新ジョブが何週間も静かに失敗していたことを発見し、根本原因をデバッグし、パニックなしに新しい証明書を展開する十分な時間があります。7日は、時間帯に関わらずオンコール担当者を呼び出すべきポイントです。警告が1つだけなら、後の方が確認されてから忘れられる傾向のある早期警告よりも有用です。

SSL障害を防ぐ一般的な運用習慣

優先順位の高い順に3つの習慣を実践すれば、SSLがインシデントレポートに登場することはなくなります。

  • 公開ホスト名はすべて個別に監視してください。ワイルドカード証明書は、それを使用する各サブドメインを監視する代わりにはなりません。なぜなら、誤った証明書を提供しているもの(設定ミスのプロキシ、古いCDNキャッシュ)は、ワイルドカードチェックには表示されないからです。
  • 定期的に更新パスをテストしてください。ステージングで更新を実行する月次のドライランは、90日経って更新ジョブが朽ちていたことを発見するよりもはるかに安価です。
  • SSLアラートをデプロイ通知と同じチャネルに接続してください。SSLのバグはほぼ常に、証明書のパス、リロードコマンド、またはシークレット名を変更したデプロイにさかのぼります。

自動化だけでは不十分な場合

人間の介入が必要で、どれだけ自動化しても排除できない状況が3つあります。

第一に、ドメイン移管やレジストラの変更です。更新ジョブが古いレジストラで認証し、静かに失敗して、証明書が失効します。第二に、CDNプロバイダーの変更です。新しいCDNは、自分の証明書をアップロードするまでデフォルト証明書を提供します。第三に、更新ジョブが1つのリージョンで実行されるが、証明書がすべてのリージョンに展開される必要があるマルチリージョン構成です。SSL監視は、顧客が気づく前に、症状レイヤー(誤った証明書の提供)で3つすべてを検出します。

すべてをまとめる

所有するすべての公開ホスト名に対してSSLモニターを1つ追加します。警告を30日に設定します。アラートをデプロイ通知が届くチャネルにルーティングします。オンコールを呼び出す7日間のエスカレーションを追加します。毎月、更新のドライランを実行します。この4つを実施すれば、SSLは繰り返し発生するインシデントの種類ではなくなります。

MonitorAHを無料で試す

3つのモニター、1分以内のアラート、クレジットカード不要。この段落を読む時間で、ウェブサイト1つとcronジョブ1つをカバーできます。

監視を開始

関連記事

A wall of analog clocks at slightly different times in a modern office.
モニターの種類 · 読了時間 8 分

Cron Job Monitoring with Heartbeats: a Practical Tutorial

How heartbeat monitoring catches the cron jobs that fail silently, with concrete examples in bash, Python, and Node.

A code editor showing API request and response in a dark theme.
モニターの種類 · 読了時間 8 分

How to Monitor a REST API for Uptime and Response Time

What to check in a REST API monitor, the right thresholds, and how to catch the silent failures that ping checks miss.

A world map with glowing lines connecting cities representing global network routes.
モニターの種類 · 読了時間 7 分

How to Monitor DNS Propagation After a Registrar Change

How to monitor DNS records during a migration, what to check, and how to catch the silent partial-propagation failures.