No hay descanso para el webmaster. Siempre hay algo que hacer para mantener los sitios web sanos y que funcionen en condiciones óptimas.

Por ejemplo, supervisar los certificados SSL para comprobar si funcionan correctamente y no han caducado.

expired-ssl-cert

Los certificados de clave pública X.509 –o, como todos los llamamos, certificados SSL/TLS– tienen una fecha de caducidad. Después de esa fecha, los sitios web o las aplicaciones para las que funcionan dejarán de enviar y recibir datos a través de una capa de sockets seguros (o SSL para abreviar), mostrando una advertencia de seguridad a sus visitantes o usuarios. Por lo tanto, como webmaster, debe asegurarse de que sus certificados no caducan. Eso podría ser una tarea molesta si tiene muchos sitios o aplicaciones web que mantener, por lo que es una buena idea tener a alguien (o algo) que compruebe las fechas de caducidad por usted, y que le avise cuando esas fechas se acerquen.

Usted puede pensar que no es tan perezoso. Es decir, si tiene una pizarra colgada en la pared de su oficina, puede limitarse a anotar las fechas de caducidad con un rotulador rojo y añadir un par de signos de exclamación cuando se acerque el momento de renovar los certificados, ¿verdad?

Bueno, la cuestión es que la supervisión de los certificados es mucho más que una simple comprobación periódica de las fechas de caducidad. Hay más certificados de los que cree — no sólo el que compró para su sitio — y no es sólo la fecha de caducidad lo que hay que comprobar porque los certificados pueden ser revocados sin que usted se dé cuenta. Además, su sitio podría ser bloqueado si su certificado no es lo suficientemente bueno o alterado debido a un posible ataque de malware.

Así que echemos un vistazo a todo lo relacionado con la supervisión de certificados.

Introducción a la cadena de confianza

Para ser de confianza, un certificado SSL tiene que poder rastrearse hasta la raíz de confianza en la que se firmó. Es decir, tiene que estar vinculado a una autoridad de certificación (CA) de confianza a través de una cadena de confianza. La cadena de confianza consta de tres partes: el certificado raíz, el certificado intermedio y el certificado del servidor.

* El certificado raíz pertenece a una CA, que lo guarda cuidadosamente en un almacén de confianza.

* Los certificados intermedios permanecen entre el certificado raíz y el certificado del servidor, actuando como intermediarios entre ambos. Puede haber muchos certificados intermedios en una cadena de confianza, pero tiene que haber al menos uno.

* El certificado del servidor se emite para el dominio específico que debe incluirse en la cadena de confianza.

Cuando adquiere un certificado SSL, también obtiene un paquete que incluye un certificado raíz intermedio. Cuando alguien llega a su sitio web, su navegador descarga su certificado y sigue la cadena de confianza hasta el certificado raíz de confianza. Si el navegador no puede seguir la cadena, advertirá al usuario de una posible amenaza para la seguridad.

La cadena de confianza de su certificado puede provocar errores si algo no se ha configurado correctamente. Los problemas más comunes incluyen que una CA de confianza no haya emitido el certificado, que los certificados intermedios no estén correctamente instalados o que su servidor no esté correctamente configurado con su certificado SSL. Estos son algunos de los problemas que las herramientas de supervisión de certificados pueden comprobar por usted.

A continuación enumeramos algunas de las herramientas de supervisión de certificados más populares que podrían liberarle de la tarea de supervisar sus certificados SSL/TLS.

Dotcom-Monitor

Tanto si es una persona que gestiona unos pocos sitios web como si es una empresa que gestiona miles, el servicio de supervisión SSL de Dotcom-Monitor puede notificarle antes de que caduquen los certificados y garantizarle que evitará costosos tiempos de inactividad y mensajes de error.

Dotcom-Monitor tiene todo lo que necesita para supervisar los certificados SSL en un único panel de control fácil de usar. Puede establecer recordatorios de caducidad, comprobar la autoridad del certificado, supervisar la verificación del nombre común, realizar un seguimiento del uso del certificado SSL y evitar la revocación de SSL con sólo unos clics y en cuestión de minutos

StatusCake

Si busca una solución de supervisión de SSL que haga todo el trabajo duro por usted, entonces StatusCake es la herramienta perfecta.

Monitorizará su certificado SSL por usted, alertándole cuando esté a punto de caducar, o haya caducado, y le ayudará a asegurarse de que está configurado correctamente. Mejor aún, StatusCake se integra con 18 plataformas diferentes permitiéndole elegir cómo recibir sus alertas, y quién en su equipo debe recibirlas.

statuscake-ssl-mon

¿No está seguro de cómo afectaría la monitorización SSL a su sitio web?

La herramienta de StatusCake elimina el riesgo de que su proceso de transacción se rompa, sus rankings de búsqueda caigan en Google y la satisfacción de sus clientes reciba un golpe, todo ello con su monitorización SSL.

Pero eso no es todo. StatusCake tiene un algoritmo SSL inteligente que calcula su puntuación SSL, basándose en la configuración de su certificado. Le enviarán un informe SSL detallado para que pueda identificar fácilmente cualquier problema en el backend que pueda estar afectando a su sitio web y, en última instancia, a su cuenta de resultados.

Sematext

Sematext ofrece comprobaciones de caducidad de certificados SSL como parte de su monitorización sintética. No sólo la validez, sino también la supervisión de la cadena del certificado, el seguimiento de los cambios y mucho más.

sematext-ssl-monitoring

Puede recibir notificaciones antes de que caduque el certificado y también en caso de que se produzca algún error a través de múltiples canales como Slack, Twilio, Zapier, VictorOps, ganchos personalizados y muchos otros. Le ayudará a evitar el tiempo de inactividad de su sitio web debido a problemas con el certificado. Además, obtendrá un informe detallado cada vez que cambie el certificado rastreado.

Junto con el certificado SSL/TLS, puede supervisar el rendimiento de todo el sitio web, y el precio comienza a partir de 2 $ por monitor HTTP. La mejor parte es que usted paga a medida que avanza.

Mejor tiempo de actividad

BetterUptime es un moderno servicio de monitorización que combina opciones de monitorización SSL y sintética, gestión de incidencias y páginas de estado en un solo producto.

better-uptime-SSL-expiry

La configuración tarda 3 minutos. Después, recibirá una llamada, un correo electrónico o una alerta de Slack cada vez que su certificado SSL esté a punto de caducar o no funcione correctamente. Las principales características son:

  • Alertas de llamadas ilimitadas
  • Comprobaciones de HTTP(s), Ping, caducidad de SSL y TLD, Cron jobs
  • Fácil programación de llamadas
  • Capturas de pantalla y registros de errores de incidencias
  • Slack, Teams, Heroku, AWS y 100 integraciones más

Sucuri

La supervisión de certificados SSL es sólo una de las muchas opciones que Sucuri ofrece dentro de su conjunto de servicios para escanear sitios web con el fin de detectar posibles problemas de malware.

Sucuri

Cuando el servicio detecte que se han realizado cambios en el certificado SSL de su sitio web, le enviará inmediatamente una alerta para que pueda tomar las medidas necesarias. El servicio completo de detección de malware de Sucuri es de pago, con planes a partir de 199,99 dólares al año.

Además de los certificados SSL, también escanea en busca de malware, spam SEO, estado de la lista negra, DNS y monitorización del tiempo de actividad.

Updown

Updown ofrece un servicio de supervisión de sitios web sencillo y económico, que incluye pruebas de SSL. Una vez configurado el servicio, empezará a recibir alertas en caso de certificados no válidos o caducados. Updown cobra sólo por lo que usted utiliza, sin necesidad de pagar cuotas fijas mensuales o anuales.

Updown

Usted compra créditos y configura un monitor que funciona hasta que consume el crédito. Por ejemplo, si desea comprobar dos sitios web cada minuto, le costará unos 1,17 euros al mes. Los sistemas de alerta cubiertos incluyen SMS, Webhook, Zapier, Telegram y Slack.

¡Oh Dear!

Oh Dear! hace algo más que supervisar el certificado de su dominio.

ohdear

Realiza una validación completa de la cadena de confianza de sus certificados, comprobando todos sus certificados intermedios. Si detecta un cambio en alguno de los certificados, le presentará un informe limpio comparando la situación antes y después para ver si hubo un cambio en alguno de los dominios cubiertos. Este servicio también busca certificados raíz SHA-1 antiguos, revocados o de los que se desconfía, todo lo cual puede provocar que un sitio no esté disponible.

HTTPS Cop

Ashish Kumar ofrece gratuitamente un servicio de alerta de caducidad de certificados, sólo porque quiere hacer la Web más segura y dar a conocer su producto HTTPS Cop, que pronto saldrá a la venta, un completo conjunto de herramientas para comprobar todo tipo de problemas con los certificados SSL de un sitio web.

HTTPS-Cop-e1582450176406

Aunque el producto completo aún no ha salido a la venta, el servicio de alerta está plenamente operativo. Sólo tiene que introducir la URL de su sitio web, su dirección de correo electrónico y empezará a recibir notificaciones dos semanas antes de que caduquen sus certificados. Puede añadir tantos sitios como desee que sean supervisados.

Keychest

El negocio deKeychest gira en torno a los certificados digitales. Su servicio ofrece informes semanales por correo electrónico y resúmenes en el panel de control de todos sus certificados, con el descubrimiento continuo de nuevos certificados gracias a su base de datos global. También ofrece automatización de la renovación con CA de terceros y gestión de Let’s Encrypt para empresas.

Keychest

Con Keychest, también puede comprar certificados con un proceso de compra único de 4 pasos con cálculo de precio. La compra incluye la generación y descarga de CSR para Linux y Windows y la automatización completa de las renovaciones.

CertsMonitor

CertsMonitor le ofrece solucionar todos los problemas de sus certificados antes de que empiecen a emitirle a usted, visitante, embarazosos avisos de «conexión insegura». El servicio incluye vigilar su cron de Let’s Encrypt, solucionar errores antes de que caduquen los certificados y ver de un vistazo si el certificado de su dominio está revocado o no está configurado correctamente.

CertsMonitor

Puede recibir recordatorios por correo electrónico o a través de Slack. El servicio es gratuito para monitorizar hasta 2 dominios y tiene un coste de 29 $ al año para hasta 30 dominios.

Monitor de caducidad de certificados

Certificate Expiry Monitor es una utilidad de código abierto que expone la fecha de caducidad de los certificados TLS como métricas Prometheus para aquellos que prefieren construir sus propias herramientas. La utilidad puede construirse en una imagen Docker o en un clúster Kubernetes.

El proyecto incluye abundante documentación para acceder a un punto final de Prometheus para la monitorización, hacer un simple chequeo de salud y acceder a muchos indicadores y contadores que muestran las estadísticas vitales de los certificados.

Monitoricemos

Siempre que sus certificados necesiten renovación o no funcionen, Let s Monitor le avisará gratuitamente. El servicio puede enviar notificaciones a varios contactos de un equipo a través de mensajes de correo electrónico o SMS. También supervisa el tiempo de actividad y el rendimiento para garantizar que los sitios web sigan respondiendo y que sus datos permanezcan encriptados. Para garantizar el acceso mundial a su sitio protegido, Let’s Monitor utiliza servidores distribuidos por todo el mundo.

Let’s-Monitor

Además, Let’s Monitor ofrece otros servicios avanzados de monitorización, como el rendimiento, la disponibilidad, las amenazas y la conectividad, entre otros. Para empezar a utilizar todos estos servicios, sólo tiene que registrarse con una dirección de correo electrónico y una contraseña.

TrackSSL

TrackSSL es un servicio web que comprueba regularmente sus certificados SSL en busca de errores comunes. Para empezar a utilizarlo, sólo tiene que crear una cuenta y añadir sus certificados a través de la interfaz web. Recibirá notificaciones por correo electrónico cuando el servicio detecte problemas con los certificados, como caducidad pendiente o hosts mal configurados.

TrackSSL

TrackSSL se asegurará de que los cambios en la infraestructura no afecten a sus certificados, enviándole notificaciones cada vez que se detecte un cambio. Puede configurar las notificaciones según sus necesidades, con la posibilidad de integrarse con Slack y recibir notificaciones en su canal #devops. Los planes de precios empiezan en 12 dólares al año para cubrir hasta 20 dominios.

Comprobador de caducidad de certificados SSL

SSL-cert-check es un script shell gratuito y de código abierto que puede ejecutar desde cron para informar sobre los certificados SSL que caducan. Puede enviar un aviso por correo electrónico o registrar alertas a través de Nagios. La utilidad viene con varias opciones que puede ver con la opción «-h».

Si gestiona numerosos certificados en un servidor web, SSL-cert-check puede utilizarse para imprimir la fecha de caducidad de cada uno de ellos. Si no tiene acceso local a los archivos de los certificados, puede utilizar la opción de conectividad de red de la utilidad para extraer las fechas de caducidad de los certificados de un servidor activo.

En caso de que necesite supervisar muchos servidores, puede colocar sus nombres y números de puerto en un archivo y luego ejecutar SSL-cert-check contra ese archivo.

Conclusión

Si no detecta los certificados caducados con suficiente antelación, las consecuencias pueden ser realmente dolorosas. Las herramientas aquí revisadas ofrecen funciones de notificación que pueden ayudarle a evitar problemas, dándole tranquilidad y liberándole de todas las preocupaciones asociadas a los certificados de su sitio web.