Le webmaster n’a pas de répit. Il y a toujours quelque chose à faire pour que les sites web restent en bonne santé et fonctionnent dans des conditions optimales.

Par exemple, surveillez les certificats SSL pour vérifier qu’ils fonctionnent correctement et qu’ils n’ont pas expiré.

expired-ssl-cert

Les certificats de clé publique X.509 – ou, comme nous les appelons tous, les certificats SSL/TLS – ont une date d’expiration. Après cette date, les sites web ou les applications pour lesquels ils fonctionnent cesseront tout simplement d’envoyer et de recevoir des données par l’intermédiaire d’une couche de sockets sécurisée (ou SSL en abrégé), affichant un avertissement de sécurité à vos visiteurs ou utilisateurs. En tant que webmaster, vous devez donc vous assurer que vos certificats n’expirent pas. C’est donc une bonne idée de demander à quelqu’un (ou à quelque chose) de vérifier les dates d’expiration pour vous, et de vous avertir lorsque ces dates approchent.

Vous pensez peut-être que vous n’êtes pas si paresseux. Si vous avez un tableau blanc accroché au mur de votre bureau, vous pouvez simplement noter les dates d’expiration au marqueur rouge et ajouter quelques points d’exclamation lorsque le moment de renouveler les certificats approche, n’est-ce pas ?

En réalité, la surveillance des certificats ne se limite pas à une simple vérification périodique des dates d’expiration. Il existe plus de certificats que vous ne le pensez – pas seulement celui que vous avez acheté pour votre site – et ce n’est pas seulement la date d’expiration qui doit être vérifiée, car les certificats peuvent être révoqués sans que vous vous en rendiez compte. En outre, votre site pourrait être bloqué si votre certificat n’est pas assez bon ou s’il est altéré en raison d’une éventuelle attaque de logiciels malveillants.

Examinons donc tous les aspects liés à la surveillance des certificats.

Présentation de la chaîne de confiance

Pour être fiable, un certificat SSL doit pouvoir être retracé jusqu’à la racine de confiance à partir de laquelle il a été signé. En d’autres termes, il doit être lié à une autorité de certification (AC) de confiance par le biais d’une chaîne de confiance. La chaîne de confiance comprend trois parties : le certificat racine, le certificat intermédiaire et le certificat du serveur.

* Le certificat racine appartient à une autorité de certification, qui le conserve soigneusement dans un registre de confiance.

* Les certificats intermédiaires se situent entre le certificat racine et le certificat de serveur, et jouent le rôle d’intermédiaire entre les deux. Il peut y avoir de nombreux certificats intermédiaires dans une chaîne de confiance, mais il doit y en avoir au moins un.

* Le certificat de serveur est émis pour le domaine spécifique qui doit être inclus dans la chaîne de confiance.

Lorsque vous achetez un certificat SSL, vous recevez également un ensemble de certificats, dont un certificat racine intermédiaire. Lorsque quelqu’un arrive sur votre site web, son navigateur télécharge votre certificat et suit la chaîne de confiance jusqu’au certificat racine de confiance. Si le navigateur ne peut pas suivre la chaîne, il avertit l’utilisateur d’une éventuelle menace pour la sécurité.

La chaîne de confiance de votre certificat peut provoquer des erreurs si quelque chose n’a pas été correctement configuré. Parmi les problèmes les plus courants, citons le fait qu’une autorité de certification de confiance n’a pas émis le certificat, que les certificats intermédiaires ne sont pas correctement installés ou que votre serveur n’est pas correctement configuré avec votre certificat SSL. Ce sont là quelques-uns des problèmes que les outils de surveillance des certificats peuvent vérifier pour vous.

Vous trouverez ci-dessous une liste des outils de surveillance de certificats les plus populaires qui pourraient vous libérer de la tâche de surveiller vos certificats SSL/TLS.

Dotcom-Monitor

Que vous soyez une personne gérant quelques sites web ou une entreprise gérant des milliers de sites, le service de surveillance SSL de Dotcom-Monitor peut vous avertir avant l’expiration des certificats et vous permettre d’éviter des temps d’arrêt et des messages d’erreur coûteux.

Dotcom-Monitor contient tout ce dont vous avez besoin pour surveiller les certificats SSL dans un tableau de bord facile à utiliser. Vous pouvez définir des rappels d’expiration, vérifier l’autorité de certification, surveiller la vérification des noms communs, suivre l’utilisation des certificats SSL et prévenir la révocation des certificats SSL en quelques clics et en quelques minutes !

StatusCake

Si vous êtes à la recherche d’une solution de surveillance SSL qui fait tout le travail à votre place, StatusCake est l’outil idéal.

Il surveille votre certificat SSL pour vous, vous alerte lorsqu’il doit expirer ou qu’il a expiré, et vous aide à vous assurer qu’il est configuré correctement. Mieux encore, StatusCake s’intègre à 18 plateformes différentes, ce qui vous permet de choisir comment vous recevez vos alertes et qui, dans votre équipe, doit les recevoir.

statuscake-ssl-mon

Vous n’êtes pas sûr de l’impact de la surveillance SSL sur votre site Web ?

L’outil de StatusCake élimine le risque d’interruption de votre processus de transaction, de chute de votre classement dans Google et de baisse de la satisfaction de vos clients, tout cela grâce à la surveillance SSL.

Mais ce n’est pas tout. StatusCake dispose d’un algorithme SSL intelligent qui calcule votre score SSL en fonction de la configuration de votre certificat. Ils vous enverront un rapport SSL détaillé afin que vous puissiez facilement identifier tout problème dans le backend qui pourrait affecter votre site web et, en fin de compte, vos résultats.

Sematext

Sematext propose des contrôles d’expiration des certificats SSL dans le cadre de son service Synthetics Monitoring. Il ne s’agit pas seulement de la validité, mais aussi du contrôle de la chaîne du certificat, du suivi des modifications et de bien d’autres choses encore.

sematext-ssl-monitoring

Vous pouvez être informé avant l’expiration du certificat et également en cas d’erreur par le biais de plusieurs canaux tels que Slack, Twilio, Zapier, VictorOps, les crochets personnalisés et bien d’autres. Cela vous aidera à éviter les temps d’arrêt de votre site web dus à des problèmes de certificat. En outre, vous obtiendrez un rapport détaillé chaque fois que le certificat suivi change.

En plus du certificat SSL/TLS, vous pouvez surveiller les performances de l’ensemble de votre site web, et le prix commence à partir de 2 $ par surveillance HTTP. Le plus intéressant, c’est que vous payez au fur et à mesure.

Better Uptime

Better Uptime est un service de surveillance moderne qui combine les options de surveillance synthétique et SSL, la gestion des incidents et les pages d’état en un seul produit.

better-uptime-SSL-expiry

L’installation prend 3 minutes. Ensuite, vous recevez un appel, un courriel ou une alerte Slack lorsque votre certificat SSL est sur le point d’expirer ou ne fonctionne pas correctement. Les principales fonctionnalités sont les suivantes :

  • Nombre illimité d’alertes téléphoniques
  • Vérifications HTTP(s), Ping, expiration SSL & TLD, tâches Cron
  • Programmation facile de l’astreinte
  • Captures d’écran et journaux d’erreurs des incidents
  • Slack, Teams, Heroku, AWS, et 100 autres intégrations

Sucuri

La surveillance des certificats SSL n’est qu’une des nombreuses options que Sucuri propose dans sa suite de services pour analyser les sites web afin de détecter d’éventuels problèmes de logiciels malveillants.

Sucuri

Lorsque le service détecte que des modifications ont été apportées au certificat SSL de votre site web, il vous envoie immédiatement une alerte afin que vous puissiez prendre les mesures nécessaires. Le service complet de détection des logiciels malveillants de Sucuri est payant, avec des forfaits à partir de 199,99 $ par an.

Outre les certificats SSL, il recherche également les logiciels malveillants, les spams SEO, l’état des listes noires, les DNS et la surveillance du temps de fonctionnement.

Updown

Updown propose un service simple et peu coûteux de surveillance des sites web, y compris des tests SSL. Une fois le service configuré, vous commencerez à recevoir des alertes en cas de certificats non valides ou expirant. Updown ne facture que ce que vous utilisez, sans avoir à payer de frais mensuels ou annuels fixes.

Updown

Vous achetez des crédits et configurez un moniteur qui fonctionne jusqu’à ce qu’il consomme le crédit. Par exemple, si vous souhaitez vérifier deux sites web toutes les minutes, il vous en coûtera environ 1,17 € par mois. Les systèmes d’alerte couverts sont les suivants : SMS, Webhook, Zapier, Telegram et Slack.

Oh Dear !

Oh Dear ! ne se contente pas de surveiller le certificat de votre domaine.

ohdear

Il effectue une validation complète de la chaîne de confiance de vos certificats, en vérifiant tous vos certificats intermédiaires. S’il détecte un changement dans l’un des certificats, il vous présentera un rapport propre comparant la situation avant et après pour voir s’il y a eu un changement dans l’un des domaines couverts. Ce service recherche également les anciens certificats SHA-1, les certificats révoqués ou les certificats racine douteux, qui peuvent tous être à l’origine de l’indisponibilité d’un site.

Flic HTTPS

Ashish Kumar propose gratuitement un service d’ alerte d’expiration de certificat, simplement parce qu’il souhaite rendre le web plus sûr et faire connaître son produit HTTPS Cop, qui sera bientôt lancé. Il s’agit d’un ensemble complet d’outils permettant de vérifier tous les types de problèmes liés aux certificats SSL d’un site web.

HTTPS-Cop-e1582450176406

Même si le produit complet n’est pas encore sorti, le service d’alerte est pleinement opérationnel. Il vous suffit de taper l’URL de votre site web, votre adresse e-mail, et vous commencerez à recevoir des notifications deux semaines avant l’expiration de vos certificats. Vous pouvez ajouter autant de sites que vous le souhaitez à surveiller.

Keychest

L’activité deKeychest porte sur les certificats numériques. Son service propose des rapports hebdomadaires par courrier électronique et des résumés de tableaux de bord pour tous vos certificats, avec la découverte permanente de nouveaux certificats grâce à sa base de données mondiale. Il propose également l’automatisation des renouvellements avec des AC tierces et la gestion de Let’s Encrypt pour les entreprises.

Keychest

Avec Keychest, vous pouvez également acheter des certificats grâce à un processus d’achat unique en 4 étapes avec calcul du prix. L’achat comprend la génération et le téléchargement de CSR pour Linux et Windows, ainsi que l’automatisation complète des renouvellements.

CertsMonitor

CertsMonitor propose de résoudre tous les problèmes liés à vos certificats avant qu’ils ne commencent à émettre des avertissements embarrassants de “connexion non sécurisée” à l’intention de vos visiteurs. Le service comprend la surveillance de votre cron Let’s Encrypt, la correction des erreurs avant que les certificats n’expirent et la possibilité de voir en un coup d’œil si le certificat de votre domaine est révoqué ou s’il n’est pas configuré correctement.

CertsMonitor

Vous pouvez recevoir des rappels par courriel ou via Slack. Le service est gratuit pour surveiller jusqu’à 2 domaines et coûte 29 $ par an pour un maximum de 30 domaines.

Moniteur d’expiration des certificats

Certificate Expiry Monitor est un utilitaire open-source qui expose la date d’expiration des certificats TLS en tant que métriques Prometheus pour ceux qui préfèrent construire leurs propres outils. L’utilitaire peut être construit sur une image Docker ou un cluster Kubernetes.

Le projet comprend une documentation abondante pour accéder à un point de terminaison Prometheus pour la surveillance, faire un simple bilan de santé et accéder à de nombreuses jauges et compteurs qui montrent les statistiques vitales des certificats.

Surveillons

Si vos certificats doivent être renouvelés ou s’ils ne fonctionnent pas, Let’s Monitor vous alertera gratuitement. Le service peut envoyer des notifications à plusieurs contacts au sein d’une équipe par le biais de messages électroniques ou de SMS. Il surveille également le temps de fonctionnement et les performances pour s’assurer que les sites web restent réactifs et que leurs données restent cryptées. Pour garantir un accès mondial à votre site sécurisé, Let’s Monitor utilise des serveurs répartis dans le monde entier.

Let’s-Monitor

En outre, Let’s Monitor offre d’autres services de surveillance avancés, tels que la performance, la disponibilité, les menaces et la connectivité, entre autres. Pour bénéficier de tous ces services, il vous suffit de vous enregistrer avec une adresse e-mail et un mot de passe.

TrackSSL

TrackSSL est un service web qui vérifie régulièrement vos certificats SSL pour détecter les erreurs courantes. Pour commencer à l’utiliser, il vous suffit de créer un compte et d’ajouter vos certificats via l’interface web. Vous recevrez des notifications par courriel lorsque le service détectera des problèmes avec les certificats, tels qu’une expiration imminente ou des hôtes mal configurés.

TrackSSL

TrackSSL s’assurera que les changements d’infrastructure n’affectent pas vos certificats, en vous envoyant des notifications chaque fois qu’un changement est détecté. Vous pouvez configurer les notifications en fonction de vos besoins, avec la possibilité d’intégrer Slack et de recevoir des notifications dans votre canal #devops. Les tarifs commencent à 12 $ par an pour couvrir jusqu’à 20 domaines.

Vérificateur d’expiration de certification SSL

SSL-cert-check est un script shell gratuit et open-source que vous pouvez exécuter à partir de cron pour signaler l’expiration des certificats SSL. Il peut envoyer un avertissement par courriel ou enregistrer des alertes via Nagios. L’utilitaire est livré avec plusieurs options que vous pouvez visualiser avec l’option “-h”.

Si vous gérez de nombreux certificats sur un serveur web, SSL-cert-check peut être utilisé pour imprimer la date d’expiration de chacun d’entre eux. Si vous n’avez pas d’accès local aux fichiers de certificats, vous pouvez utiliser l’option de connectivité réseau de l’utilitaire pour extraire les dates d’expiration des certificats d’un serveur réel.

Si vous devez surveiller un grand nombre de serveurs, vous pouvez placer leurs noms et leurs numéros de port dans un fichier, puis exécuter SSL-cert-check en fonction de ce fichier.

Conclusion

Si vous ne détectez pas les certificats expirés suffisamment tôt, les conséquences peuvent être très douloureuses. Les outils présentés ici offrent des fonctions de notification qui peuvent vous aider à éviter les problèmes, ce qui vous permet d’avoir l’esprit tranquille et de vous libérer de tous les soucis liés aux certificats de votre site web.