14 Tools zur Überwachung des Ablaufs von SSL-Zertifikaten aus der Cloud und Skripten

Für den Webmaster gibt es keine Ruhe. Es gibt immer etwas zu tun, damit Websites gesund bleiben und unter optimalen Bedingungen funktionieren.

Überwachen Sie zum Beispiel die SSL-Zertifikate, um zu prüfen, ob sie ordnungsgemäß funktionieren und nicht abgelaufen sind.

Die X.509 Public Key-Zertifikate – oder, wie wir sie alle nennen, SSL/TLS-Zertifikate – haben ein Verfallsdatum. Nach diesem Datum hören die Websites oder Anwendungen, für die sie verwendet werden, einfach auf, Daten über Secure Sockets Layer (oder kurz SSL) zu senden und zu empfangen, und zeigen Ihren Besuchern oder Benutzern eine Sicherheitswarnung an. Als Webmaster müssen Sie daher dafür sorgen, dass Ihre Zertifikate nicht ablaufen. Das kann eine lästige Aufgabe sein, wenn Sie viele Websites oder Webanwendungen zu verwalten haben. Daher ist es eine gute Idee, jemanden (oder etwas) zu beauftragen, die Ablaufdaten für Sie zu überprüfen und Sie zu warnen, wenn diese Daten näher rücken.

Sie denken vielleicht, dass Sie nicht so faul sind. Ich meine, wenn Sie ein Whiteboard an der Wand Ihres Büros hängen haben, können Sie doch einfach die Verfallsdaten mit einem roten Marker aufschreiben und ein paar Ausrufezeichen hinzufügen, wenn die Zeit für die Erneuerung der Zertifikate naht, oder?

Nun, die Sache ist die, dass es bei der Überwachung von Zertifikaten um mehr geht, als nur um eine regelmäßige Überprüfung der Ablaufdaten. Es gibt mehr Zertifikate, als Sie vielleicht denken – nicht nur das, das Sie für Ihre Website gekauft haben – und es ist nicht nur das Ablaufdatum, das überprüft werden muss, da Zertifikate widerrufen werden können, ohne dass Sie es merken. Außerdem könnte Ihre Website gesperrt werden, wenn Ihr Zertifikat nicht gut genug ist oder aufgrund eines möglichen Malware-Angriffs verändert wurde.

Werfen wir also einen Blick auf alles, was mit der Überwachung von Zertifikaten zu tun hat.

Einführung in die Vertrauenskette

Um vertrauenswürdig zu sein, muss ein SSL-Zertifikat zu der vertrauenswürdigen Wurzel zurückverfolgt werden können, von der es signiert wurde. Das heißt, es muss über eine Vertrauenskette mit einer vertrauenswürdigen Zertifizierungsstelle (CA) verbunden sein. Die Vertrauenskette besteht aus drei Teilen: dem Stammzertifikat, dem Zwischenzertifikat und dem Serverzertifikat.

* Das Stammzertifikat gehört zu einer Zertifizierungsstelle, die es sorgfältig in einem Vertrauensspeicher verwahrt.

* Die Zwischenzertifikate stehen zwischen dem Stammzertifikat und dem Serverzertifikat und fungieren als Vermittler zwischen ihnen. Es kann viele Zwischenzertifikate in einer Vertrauenskette geben, aber es muss mindestens eines geben.

* Das Server-Zertifikat wird für die spezifische Domain ausgestellt, die in die Vertrauenskette aufgenommen werden muss.

Wenn Sie ein SSL-Zertifikat kaufen, erhalten Sie auch ein Paket, das ein Root-Zwischenzertifikat enthält. Wenn jemand auf Ihre Website zugreift, lädt sein Browser Ihr Zertifikat herunter und folgt der Vertrauenskette zurück zum vertrauenswürdigen Stammzertifikat. Wenn der Browser der Kette nicht folgen kann, wird er den Benutzer vor einer möglichen Sicherheitsbedrohung warnen.

Die Vertrauenskette Ihres Zertifikats kann zu Fehlern führen, wenn etwas nicht korrekt konfiguriert wurde. Häufige Probleme sind, dass eine vertrauenswürdige Zertifizierungsstelle das Zertifikat nicht ausgestellt hat, dass die Zwischenzertifikate nicht richtig installiert sind oder dass Ihr Server nicht richtig mit Ihrem SSL-Zertifikat konfiguriert ist. Dies sind nur einige der Probleme, die Tools zur Überwachung von Zertifikaten für Sie überprüfen können.

Nachfolgend finden Sie eine Liste der beliebtesten Tools zur Überwachung von Zertifikaten, die Sie von der Aufgabe der Überwachung Ihrer SSL/TLS-Zertifikate befreien können.

Dotcom-Monitor

Ganz gleich, ob Sie eine Person sind, die ein paar Websites verwaltet, oder ein Unternehmen, das Tausende von Websites verwaltet, der SSL-Überwachungsservice von Dotcom-Monitor kann Sie benachrichtigen, bevor Zertifikate ablaufen, und sicherstellen, dass Sie kostspielige Ausfallzeiten und Fehlermeldungen vermeiden.

Dotcom-Monitor bietet alles, was Sie zur Überwachung von SSL-Zertifikaten benötigen, in einem einzigen, benutzerfreundlichen Dashboard. Sie können Ablauferinnerungen einstellen, die Zertifizierungsstelle überprüfen, die Überprüfung des Common Name überwachen, die Nutzung von SSL-Zertifikaten verfolgen und den Widerruf von SSL-Zertifikaten mit nur wenigen Klicks in wenigen Minuten verhindern!

StatusCake

Wenn Sie nach einer SSL-Überwachungslösung suchen, die Ihnen die ganze Arbeit abnimmt, dann ist StatusCake das perfekte Tool.

Es überwacht Ihr SSL-Zertifikat für Sie, warnt Sie, wenn es abläuft oder abgelaufen ist, und hilft Ihnen dabei, es richtig einzurichten. Und was noch besser ist: StatusCake lässt sich in 18 verschiedene Plattformen integrieren, so dass Sie selbst entscheiden können, wie Sie Ihre Warnmeldungen erhalten und wer in Ihrem Team sie erhalten soll.

Sie sind sich nicht sicher, wie sich die SSL-Überwachung auf Ihre Website auswirken würde?

Das Tool von StatusCake eliminiert das Risiko, dass Ihr Transaktionsprozess abbricht, Ihr Suchranking bei Google sinkt und Ihre Kundenzufriedenheit leidet – und das alles dank der SSL-Überwachung.

Das ist noch nicht alles. StatusCake verfügt über einen intelligenten SSL-Algorithmus, der Ihren SSL-Score auf der Grundlage Ihrer Zertifikatseinstellungen berechnet. StatusCake schickt Ihnen einen detaillierten SSL-Bericht, so dass Sie alle Probleme im Backend erkennen können, die sich auf Ihre Website und letztlich auch auf Ihren Gewinn auswirken könnten.

Sematext

Sematext bietet im Rahmen seines Synthetics Monitoring eine Überprüfung des Ablaufs von SSL-Zertifikaten an. Nicht nur die Gültigkeit, sondern auch die Überwachung der Zertifikatskette, die Verfolgung von Änderungen und vieles mehr.

Sie können sich benachrichtigen lassen, bevor das Zertifikat abläuft und auch im Falle von Fehlern über verschiedene Kanäle wie Slack, Twilio, Zapier, VictorOps, benutzerdefinierte Hooks und viele andere. So können Sie Ausfallzeiten Ihrer Website aufgrund von Zertifikatsproblemen vermeiden. Darüber hinaus erhalten Sie einen detaillierten Bericht, wenn sich das verfolgte Zertifikat ändert.

Neben dem SSL/TLS-Zertifikat können Sie auch die gesamte Website auf ihre Leistung hin überwachen, und die Preise beginnen bei $2 pro HTTP-Monitor. Das Beste daran ist, dass Sie nach Aufwand zahlen.

Bessere Ausfallsicherheit

Better Uptime ist ein moderner Überwachungsdienst, der SSL- und synthetische Überwachungsoptionen, Störungsmanagement und Statusseiten in einem Produkt vereint.

Die Einrichtung dauert 3 Minuten. Danach erhalten Sie einen Anruf, eine E-Mail oder eine Slack-Benachrichtigung, wenn Ihr SSL-Zertifikat bald abläuft oder nicht ordnungsgemäß funktioniert. Die wichtigsten Funktionen sind:

Unbegrenzte Anzahl von Anrufbenachrichtigungen
HTTP(s), Ping, SSL & TLD-Ablauf, Cron-Jobs-Überprüfungen
Einfache Planung des Bereitschaftsdienstes
Screenshots & Fehlerprotokolle von Vorfällen
Slack, Teams, Heroku, AWS und 100 weitere Integrationen

Sucuri

Die Überwachung von SSL-Zertifikaten ist nur eine der vielen Optionen, die Sucuri im Rahmen seines Servicepakets zum Scannen von Websites anbietet, um mögliche Malware-Probleme zu erkennen.

Wenn der Dienst feststellt, dass Änderungen am SSL-Zertifikat Ihrer Website vorgenommen wurden, sendet er Ihnen sofort eine Warnung, damit Sie die erforderlichen Maßnahmen ergreifen können. Der vollständige Malware-Erkennungsdienst von Sucuri ist kostenpflichtig, wobei die Tarife bei 199,99 $ pro Jahr beginnen.

Neben SSL-Zertifikaten werden auch Malware, SEO-Spam, Blacklist-Status, DNS und die Betriebszeit überwacht.

Updown

Updown bietet einen einfachen und kostengünstigen Service zur Überwachung von Websites, einschließlich SSL-Tests. Sobald Sie den Service eingerichtet haben, erhalten Sie Benachrichtigungen über ungültige oder ablaufende Zertifikate. Updown berechnet nur das, was Sie nutzen, ohne dass Sie feste monatliche oder jährliche Gebühren zahlen müssen.

Sie kaufen Guthaben und richten einen Monitor ein, der so lange arbeitet, bis das Guthaben aufgebraucht ist. Wenn Sie zum Beispiel jede Minute zwei Websites überprüfen möchten, kostet Sie das etwa 1,17 € pro Monat. Zu den abgedeckten Benachrichtigungssystemen gehören SMS, Webhook, Zapier, Telegram und Slack.

Oh Dear!

Oh Dear! kann mehr als nur Ihr Domainzertifikat überwachen.

Es führt eine vollständige Validierung der Vertrauenskette Ihrer Zertifikate durch und prüft alle Zwischenzertifikate. Wenn es eine Änderung in einem der Zertifikate feststellt, erhalten Sie einen sauberen Bericht, in dem die Vorher-Nachher-Situation verglichen wird, um festzustellen, ob es eine Änderung in einer der abgedeckten Domains gab. Dieser Service sucht auch nach alten SHA-1, widerrufenen oder misstrauischen Stammzertifikaten, die alle dazu führen können, dass eine Website nicht mehr erreichbar ist.

HTTPS Cop

Ashish Kumar bietet einen kostenlosen Alarmservice für das Auslaufen von Zertifikaten an, weil er das Web sicherer machen und für sein bald erscheinendes Produkt HTTPS Cop werben möchte, ein komplettes Set von Tools zur Überprüfung aller Arten von Problemen mit den SSL-Zertifikaten einer Website.

Obwohl das vollständige Produkt noch nicht veröffentlicht ist, ist der Warndienst bereits voll funktionsfähig. Sie müssen nur die URL Ihrer Website und Ihre E-Mail-Adresse eingeben, und schon werden Sie zwei Wochen vor Ablauf Ihrer Zertifikate benachrichtigt. Sie können so viele Websites hinzufügen, wie Sie überwachen lassen möchten.

Keychest

BeiKeychest dreht sich alles um digitale Zertifikate. Der Service bietet wöchentliche E-Mail-Berichte und Dashboard-Zusammenfassungen für alle Ihre Zertifikate, wobei dank der globalen Datenbank ständig neue Zertifikate entdeckt werden. Außerdem bietet er die Automatisierung von Zertifikatserneuerungen mit Drittanbieter-CAs und die Verwaltung von Let’s Encrypt für Unternehmen.

Mit Keychest können Sie auch Zertifikate mit einem einzigartigen 4-stufigen Kaufprozess mit Preisberechnung erwerben. Der Kauf umfasst die CSR-Generierung und Downloads für Linux und Windows sowie die vollständige Automatisierung von Verlängerungen.

CertsMonitor

CertsMonitor bietet Ihnen an, alle Probleme mit Ihren Zertifikaten zu beheben, bevor diese anfangen, peinliche Warnungen über “unsichere Verbindungen” an Sie, die Besucher, auszugeben. Der Service umfasst die Überwachung Ihres Let’s Encrypt Cron, die Behebung von Fehlern, bevor die Zertifikate ablaufen, und die Möglichkeit, auf einen Blick zu sehen, ob Ihr Domainzertifikat widerrufen oder nicht richtig konfiguriert ist.

Sie können Erinnerungen per E-Mail oder über Slack erhalten. Der Dienst ist kostenlos für die Überwachung von bis zu 2 Domains und kostet $ 29 pro Jahr für bis zu 30 Domains.

Certificate Expiry Monitor

Certificate Expiry Monitor ist ein Open-Source-Dienstprogramm, das das Ablaufdatum von TLS-Zertifikaten als Prometheus-Metriken für diejenigen bereitstellt, die ihre eigenen Tools erstellen möchten. Das Dienstprogramm kann auf einem Docker-Image oder einem Kubernetes-Cluster erstellt werden.

Das Projekt enthält eine ausführliche Dokumentation für den Zugriff auf einen Prometheus-Endpunkt für die Überwachung, einen einfachen Gesundheitscheck und den Zugriff auf viele Messgeräte und Zähler, die die wichtigen Statistiken der Zertifikate anzeigen.

Lassen Sie uns überwachen

Wann immer Ihre Zertifikate erneuert werden müssen oder nicht mehr funktionieren, werden Sie von Let’s Monitor kostenlos benachrichtigt. Der Dienst kann Benachrichtigungen per E-Mail oder SMS an mehrere Kontakte innerhalb eines Teams senden. Er überwacht auch die Betriebszeit und die Leistung, um sicherzustellen, dass die Websites reaktionsfähig bleiben und die Daten verschlüsselt bleiben. Um den weltweiten Zugriff auf Ihre gesicherte Website zu gewährleisten, verwendet Let’s Monitor global verteilte Server.

Darüber hinaus bietet Let’s Monitor weitere fortschrittliche Überwachungsdienste an, wie z.B. Performance, Verfügbarkeit, Bedrohungen und Konnektivität. Um all diese Dienste nutzen zu können, müssen Sie sich lediglich mit einer E-Mail-Adresse und einem Passwort registrieren.

TrackSSL

TrackSSL ist ein Webservice, der Ihre SSL-Zertifikate regelmäßig auf häufige Fehler überprüft. Um ihn zu nutzen, müssen Sie lediglich ein Konto erstellen und Ihre Zertifikate über die Weboberfläche hinzufügen. Sie erhalten E-Mail-Benachrichtigungen, wenn der Dienst Probleme mit den Zertifikaten feststellt, z. B. ein bevorstehendes Auslaufen oder falsch konfigurierte Hosts.

TrackSSL stellt sicher, dass sich Änderungen an der Infrastruktur nicht auf Ihre Zertifikate auswirken, und sendet Ihnen Benachrichtigungen, sobald eine Änderung festgestellt wird. Sie können die Benachrichtigungen nach Ihren Bedürfnissen konfigurieren und haben die Möglichkeit, sie in Slack zu integrieren und Benachrichtigungen in Ihrem #devops-Kanal zu erhalten. Die Preise beginnen bei $12 pro Jahr und decken bis zu 20 Domains ab.

SSL-Zertifikat-Ablauf-Checker

SSL-cert-check ist ein kostenloses und quelloffenes Shell-Skript, das Sie über cron ausführen können, um über ablaufende SSL-Zertifikate zu berichten. Es kann eine Warnung per E-Mail versenden oder Alarme über Nagios protokollieren. Das Dienstprogramm verfügt über mehrere Optionen, die Sie mit der Option “-h” anzeigen können.

Wenn Sie zahlreiche Zertifikate auf einem Webserver verwalten, können Sie mit SSL-cert-check das Ablaufdatum für jedes dieser Zertifikate ausdrucken. Wenn Sie keinen lokalen Zugriff auf die Zertifikatsdateien haben, können Sie die Netzwerkverbindungsoption des Dienstprogramms verwenden, um die Ablaufdaten der Zertifikate von einem Live-Server zu extrahieren.

Wenn Sie viele Server überwachen müssen, können Sie deren Namen und Portnummern in einer Datei speichern und dann SSL-cert-check gegen diese Datei laufen lassen.

Fazit

Wenn Sie abgelaufene Zertifikate nicht früh genug erkennen, kann das sehr schmerzhafte Folgen haben. Die hier vorgestellten Tools bieten Benachrichtigungsfunktionen, die Ihnen helfen können, Probleme zu vermeiden. So können Sie sich beruhigt zurücklehnen und müssen sich keine Sorgen mehr um Ihre Website-Zertifikate machen.

Chandan Kumar
Beitragender
- LinkedIn
Chandan Kumar ist einer der Gründer von Geekflare. Er ist ein technikbegeisterter Unternehmer, der es liebt, Unternehmen und Menschen auf der ganzen Welt zu helfen. Chandan hat bei BNP Paribas, Citibank, Deutsche Bank, Motorola und HP gearbeitet. Er verfügt über ein tiefgreifendes Verständnis von Unternehmenssoftware und -ressourcen.