14个用于监控云和脚本中SSL证书到期的工具
网站管理员没有休息。始终有事情需要做,以保持网站健康并在最佳条件下运行。
例如,监控SSL证书,以检查其是否正常工作且未过期。
X.509公钥证书-或者我们都称之为SSL/TLS证书-具有有效期限。在该日期之后,它们所工作的网站或应用程序将停止通过安全套接层(或简称为SSL)发送和接收数据,向您的访问者或用户显示安全警告。因此,作为网站管理员,您需要确保您的证书不会过期。如果您有许多站点或Web应用程序需要维护,那可能是一项令人讨厌的任务,因此最好有人(或某物)为您检查到期日期,并在接近这些日期时提醒您。
您可能会认为您并不那么懒惰。我的意思是,如果您的办公室墙上挂着一个白板,您可以用红色记号笔写下到期日期,并在续订证书的时间临近时添加几个感叹号,对吗?
嗯,问题是,证书监控不仅仅是定期检查到期日期。证书比您可能想象的要多-不仅仅是您为网站购买的那个-还需要检查到期日期以外的其他内容,因为证书可能会被吊销而您不会察觉到。此外,如果您的证书不够好或可能由于可能的malware attack而被修改,您的网站可能会被阻止。
因此,让我们一起来看看与证书监控相关的所有事情。
介绍信任链
要受信任,一个SSL certificate需要追溯到它签署的受信任根。也就是说,它必须通过信任链与受信任的证书颁发机构(CA)建立链接。信任链包括三个部分:根证书、中间证书和服务器证书。
* 根证书属于CA,它将其仔细保存在信任存储中。
* 中间证书位于根证书和服务器证书之间,起到它们之间的中间人作用。信任链中可以有许多中间证书,但至少需要一个。
* 服务器证书是为需要包含在信任链中的特定域颁发的。
当您购买SSL证书时,还会获得一个包含中间根证书的捆绑包。当有人访问您的网站时,他们的浏览器会下载您的证书并按照信任链追溯到受信任的根证书。如果浏览器无法追溯整个链条,它将向用户发出关于可能的安全威胁的警告。
如果某些配置错误,您的证书的信任链可能会导致errors。常见问题包括受信任的CA未颁发证书、中间证书未正确安装或服务器未正确配置SSL证书。这些是证书监控工具可以为您检查的一些问题。
下面我们列出了一些最受欢迎的证书监控工具,它们可以使您摆脱监控SSL/TLS证书的任务。
Dotcom-Monitor
无论您是管理几个网站的个人,还是管理数千个网站的企业公司,Dotcom-Monitor服务都可以在证书到期之前通知您,并确保您避免昂贵的停机时间和错误消息。
Dotcom-Monitor在一个易于使用的仪表板中提供了监控SSL证书所需的一切。您可以设置到期提醒、检查证书颁发机构、监控公共名称验证、跟踪SSL证书的使用情况,并在几分钟内通过几次点击防止SSL吊销!
StatusCake
如果您正在寻找一个为您完成所有繁重工作的SSL监控解决方案,那么StatusCake就是您的完美工具。
它将为您监控SSL证书,当证书即将到期或已经过期时提醒您,并帮助您确保其正确设置。更好的是,StatusCake与18个不同的平台集成,您可以选择如何接收警报以及您团队中的哪些人应该接收它们。
不确定SSL监控对您的网站会产生什么影响?
StatusCake的工具可消除您的交易流程中断、谷歌搜索排名下降以及客户满意度下降的风险,所有这些都通过他们的SSL监控。
这还不是全部。StatusCake拥有智能SSL算法,根据您的证书设置计算您的SSL评分。他们将向您发送详细的SSL报告,以便您可以轻松识别可能影响您的网站和最终利润的后端问题。
Sematext
Sematext作为其服务的一部分提供SSL证书到期检查功能。不仅有效性检查,还可以监控证书链、跟踪更改等等。
您可以通过Slack、Twilio、Zapier、VictorOps、自定义钩子等多个渠道在证书到期之前或发生任何错误时收到通知。它将帮助您避免由于证书问题导致的网站停机。除此之外,每当被跟踪的证书更改时,您都将收到详细的报告。
除了SSL/TLS证书,您还可以监控整个网站的性能,价格从每个HTTP监控2美元起。最好的是,您按使用量付费。
Better Uptime
Better Uptime是一种现代化的监控服务,将SSL和合成监控选项、事件管理和状态页面结合为一个产品。
设置只需3分钟。之后,每当您的SSL证书即将到期或无法正常工作时,您将收到电话、电子邮件或Slack警报。其主要功能包括:
- 无限电话警报
- HTTP(s)、Ping、SSL和TLD到期、Cron作业检查
- 轻松的按呼叫计划
- 事件的屏幕截图和错误日志
- Slack、Teams、Heroku、AWS和其他100多个集成
Sucuri
SSL证书监控只是Sucuri提供的许多选项之一,该服务可扫描网站以检测可能存在的恶意软件问题。
当服务检测到对您的website’s SSL certificate所做的更改时,将立即向您发送警报,以便您采取必要的措施。Sucuri的完整恶意软件检测服务是收费的,计划价格从每年199.99美元起。
除了SSL证书,它还可以扫描恶意软件、SEO垃圾邮件、黑名单状态、DNS和可用性。
Updown
Updown提供简单且廉价的网站监控服务,包括SSL测试。一旦您设置好服务,您将开始收到在证书无效或到期时的警报。Updown只收取您使用的费用,无需支付固定的月度或年度费用。
您购买信用并设置一个监控器,该监控器运行直到消耗完信用。例如,如果您想每分钟检查两个网站,大约每月花费1.17欧元。支持的警报系统包括短信、Webhook、Zapier、Telegram和Slack。
Oh Dear!
Oh Dear!不仅监控您的域名证书。
它对您的证书信任链进行完整验证,检查所有中间证书。如果它检测到任何证书的更改,它将为您提供一份干净的报告,比较前后情况,以查看是否有任何受到保护的域名发生了更改。该服务还寻找旧的SHA-1、吊销或不受信任的根证书,所有这些都可能导致网站无法访问。
HTTPS Cop
Ashish Kumar免费提供证书过期提醒service,仅因为他希望使Web更加安全,并宣传即将发布的HTTPS Cop产品,这是一个完整的工具集,用于检查网站SSL证书的各种问题。
尽管完整的产品尚未发布,但提醒服务已经正常运作。您只需输入您的网站URL和电子邮件地址,您将在证书到期前两周开始收到通知。您可以添加尽可能多的需要监视的站点。
Keychest
Keychest业务涉及数字证书。其服务提供每周的电子邮件报告和仪表板摘要,以及通过全球数据库持续发现新证书。它还提供与第三方CA的自动更新和企业的Let's Encrypt管理。
通过Keychest,您还可以使用独特的4步购买过程以及价格计算来购买证书。购买包括CSR生成和Linux和Windows的下载,以及更新的完全自动化。
CertsMonitor
CertsMonitor提供在开始发出令人尴尬的“不安全连接”警告之前修复所有证书问题的服务。该服务包括监视您的Let's Encrypt定时作业,修复证书到期前的错误,并一目了然地查看您的域名证书是否已吊销或配置不正确。
您可以通过电子邮件或Slack接收提醒。该服务免费监视最多2个域,并且对于最多30个域的费用为29美元/年。
证书到期监视器
Certificate Expiry Monitor是一个开源实用程序,将TLS证书的到期日期作为Prometheus指标公开,供那些倾向于构建自己的工具的人使用。该实用程序可以在Docker映像或Kubernetes集群上构建。
该项目包括丰富的文档,用于访问监视的Prometheus端点,进行简单的健康检查,并访问显示证书关键统计信息的许多计量器和计数器。
Let’s Monitor
每当您的证书需要续订或无法工作时,Let’s Monitor将免费向您发出警报。该服务可以通过电子邮件或短信向团队中的多个联系人发送通知。它还监视可用性和性能,以确保网站保持响应并保持其数据加密。为了确保对您的安全站点的全球访问,Let's Monitor使用全球分布的服务器。
此外,Let's Monitor还提供其他高级监控服务,例如性能、可用性、威胁和连接性等。要开始使用所有这些服务,您只需要使用电子邮件地址和密码注册。
TrackSSL
TrackSSL是一个定期检查SSL证书常见错误的Web服务。要开始使用它,您只需创建一个帐户,并通过Web界面添加您的证书。当服务检测到证书问题(如即将到期或配置错误的主机)时,您将收到电子邮件通知。
TrackSSL会确保基础设施更改不会影响您的证书,并在检测到更改时发送通知给您。您可以根据自己的需求配置通知,还可以与Slack集成并将通知发送到您的#devops频道。定价计划从每年12美元起,覆盖最多20个域名。
SSL证书到期检查程序
SSL-cert-check是一个免费且开源的Shell脚本,您可以从cron运行以报告即将到期的SSL证书。它可以通过电子邮件发送警告或通过Nagios记录警报。该工具带有几个选项,您可以使用“-h”选项查看。
如果您在Web服务器上管理多个证书,可以使用SSL-cert-check打印每个证书的到期日期。如果您无法本地访问证书文件,则可以使用该工具的网络连接选项从活动服务器提取证书的到期日期。
如果您需要监视大量服务器,则可以将它们的名称和端口号放入文件中,然后针对该文件运行SSL-cert-check。
结论
如果您不能及时发现过期的证书,后果可能非常严重。这里介绍的工具提供了通知功能,可以帮助您避免问题,让您安心,并摆脱与您的website certificates相关的所有问题。