SSL Sertifika İzleme: 2026 için Pratik Bir Rehber

Süresi dolmuş SSL sertifikaları sektördeki en kolay önlenebilir kesintidir. Sertifika dün geçerliydi, izlemeniz sessiz kaldı ve bu sabah her tarayıcı kırmızı uyarı sayfasını gösteriyor. Otomatik yenilemeler, insanların kabul ettiğinden daha sık başarısız olur ve 90 günlük bir Let's Encrypt sertifikası kaçırılmış bir yenileme işi için küçük bir pay bırakır. Bu rehber SSL izlemenin nasıl çalıştığını, neyin uyarılacağını ve sertifikaların sizi nasıl ısırmasını engelleyeceğinizi kapsar.

Otomatik yenileme çağında SSL kesintileri neden devam ediyor

Otomatik yenileme SSL süresinin dolmasını çözmedi. Yalnızca hatanın nerede meydana geldiğini değiştirdi. Certbot veya acme.sh işi çalışır, ancak yeniden yükleme adımı devre dışı bırakıldığı için yeni sertifika nginx tarafından hiçbir zaman yüklenmez. Kubernetes ingress yenilenir, ancak gizli anahtar hâlâ eski sertifikayı sunan bir bölmeye asla yayılmaz. Çoklu alan adlı bir SAN sertifikası yenilenir, ancak ana bilgisayar adlarından biri istekten kaldırılmıştır ve şimdi süresi dolmuş bir alternatif sunar.

Harici izleme, iç durumunuza güvenmediği için bunların hepsini yakalar. Gerçek bir tarayıcının gördüğünü görür: canlı TLS el sıkışmasında sunulan, genel ana bilgisayar adında, genel portta sunulan sertifika. Doğru sertifika sunulmuyorsa, cron günlüklerinizin ne söylediğinden bağımsız olarak monitör bunu bilir.

Bir SSL monitörü gerçekte neyi kontrol eder

İyi yapılandırılmış bir SSL monitörü her sondada altı iş yapar. Çoğu araç bunların bir kısmını uyarı olarak yüzeye çıkarır ve geri kalanını gömer.

• Süre dolmasına kalan günler, başlık metriği, yapılandırılabilir bir uyarı penceresiyle yüzeye çıkarılır.
• Ana bilgisayar adı eşleşmesi, böylece example.com için geçerli olan ancak api.example.com'da sunulan bir sertifika hemen tetiklenir.
• Sertifika zinciri doğrulaması, bazı tarayıcılarda çalışan ancak mobilde başarısız olan eksik ara sertifikaları yakalar.
• Kendinden imzalı ve güvenilmeyen yayıncı tespiti, yanlışlıkla gerçek bir sertifika alan hazırlık ortamları için.
• TLS sürümü, böylece kullanımdan kaldırılan protokoller (TLS 1.0, TLS 1.1) tarayıcılar tamamen düşürmeden önce işaretlenir.
• Konu alternatif ad listesi, yenileme sırasında sessizce bir ana bilgisayar adı kaybeden SAN sertifikaları için kullanışlıdır.

Gerçekten işe yarayan uyarı pencereleri nasıl ayarlanır

7 günlük bir uyarı penceresi çok kısadır. 90 günlük bir pencere uyarı yorgunluğu üretir. Pratikte işe yarayan sayılar, ilk uyarı için 30 gün ve bir yükseltme için 7 gündür.

30 gün, yenileme işinizin haftalardır sessizce başarısız olduğunu keşfetmek, altta yatan sorunu ayıklamak ve panik olmadan yeni bir sertifika dağıtmak için yeterli süredir. 7 gün, günün saati ne olursa olsun nöbetçi personelinizin çağrılması gereken noktadır. Yalnızca tek bir uyarı alacaksanız, geç olanı daha kullanışlıdır çünkü erken olanı genellikle onaylanır ve unutulur.

SSL kesintilerini önleyen yaygın operasyonel alışkanlıklar

Öncelik sırasına göre üç alışkanlık, SSL'yi olay raporlarınızdan uzak tutacaktır.

• Her genel ana bilgisayar adını ayrı ayrı izleyin. Joker karakter sertifikası, onu kullanan her alt etki alanını izlemenin yerine geçmez çünkü yanlış sertifika sunan herhangi bir şey (yanlış yapılandırılmış bir proxy, eskimiş bir CDN önbelleği) joker karakter kontrolünde görünmeyecektir.
• Yenileme yolunu bir programa göre test edin. Yenilemeyi hazırlık ortamında çalıştıran aylık bir kuru çalıştırma, 90. günde yenileme işinin çürüdüğünü keşfetmekten çok daha ucuzdur.
• SSL uyarılarını dağıtım bildirimleriyle aynı kanala bağlayın. SSL hataları neredeyse her zaman sertifika yolunu, yeniden yükleme komutunu veya gizli adı değiştiren bir dağıtıma kadar uzanır.

Otomasyon yeterli olmadığında

Üç durum, devrede bir insan gerektirir ve hiçbir otomasyon miktarı bunları ortadan kaldırmaz.

İlki, bir alan adı transferi veya kayıt şirketi değişikliğidir. Yenileme işi eski kayıt şirketiyle kimlik doğrulaması yapar, bu sessizce başarısız olur ve sertifikanın süresi dolar. İkincisi, bir CDN sağlayıcı değişikliğidir. Yeni CDN, kendi sertifikanızı yükleyene kadar varsayılan bir sertifika sunar. Üçüncüsü, yenileme işinin bir bölgede çalıştığı ancak sertifikanın hepsine dağıtılması gereken çok bölgeli kurulumlardır. SSL izleme, müşteriden önce üçünü de belirti katmanında (yanlış sertifika sunulur) yakalar.

Hepsini bir araya getirmek

Sahip olduğunuz her genel ana bilgisayar adı için bir SSL monitörü ekleyin. Uyarıyı 30 güne ayarlayın. Uyarıyı dağıtım bildirimlerinizin geldiği aynı kanala yönlendirin. Nöbetçi personeli çağıran 7 günlük bir yükseltme ekleyin. Aylık olarak bir yenileme kuru çalıştırması yapın. Bu dört şey yerine oturduğunda, SSL artık tekrar eden bir olay türü olmaktan çıkar.