Web-Puls Мониторинг сайта 24/7
Войти Подключить сайт
SSL и сертификаты · 7 мин · обновлено 2026-05-13

Короткие SSL-сертификаты: как подготовить сайт к частым продлениям

Сроки SSL/TLS-сертификатов сокращаются, поэтому ручного календаря уже недостаточно. Разбираем, как проверить автопродление и настроить контроль сертификата без паники.

Короткий ответ

SSL-сертификат больше нельзя воспринимать как разовую настройку, которую сделали при запуске сайта и забыли. Сроки публичных TLS-сертификатов постепенно сокращаются, а значит, владельцу сайта нужно проверять не только дату окончания, но и сам процесс продления: работает ли ACME-клиент, доступны ли DNS-записи, не сломалась ли проверка домена, не изменился ли путь до служебного файла.

Практический вывод простой: автоматическое продление полезно, но его тоже надо контролировать. Если сертификат не обновился, браузер начнет показывать предупреждение, часть пользователей уйдет, а заявки и оплаты могут остановиться. Мониторинг SSL помогает увидеть проблему раньше, чем ее заметят клиенты.

Почему тема стала актуальной

В мае 2026 года Let's Encrypt на своей странице статуса сообщал о временной остановке выпуска сертификатов из-за потенциального инцидента, а затем о возобновлении выпуска с возвратом к прежней корневой цепочке для затронутых профилей. В отдельном техническом сообщении команда поясняла, что проблема была связана с кросс-подписанными сертификатами новой иерархии Generation Y.

Это не повод пугаться конкретного центра сертификации. Наоборот, такие сообщения полезны как напоминание: даже когда выпуск сертификатов автоматизирован, он зависит от внешних сервисов, DNS, сетевой доступности и корректной конфигурации сервера.

Есть и более долгий тренд. CA/Browser Forum принял график сокращения максимального срока действия публичных TLS-сертификатов: изменения начинаются в 2026 году и должны завершиться к 2029 году снижением максимального срока до 47 дней. Для владельца сайта это означает, что ручной контроль по календарю будет становиться все менее надежным.

Где обычно ломается продление SSL

Автоматическое продление выглядит простым только снаружи. Внутри есть цепочка условий, и сбой в любом звене может сорвать выпуск нового сертификата.

Домен не проходит проверку

При HTTP-проверке центр сертификации должен открыть специальный файл на сайте. Если включили редирект, поменяли конфигурацию nginx, закрыли служебный каталог или поставили защиту от ботов, проверка может не пройти. Снаружи сайт при этом выглядит рабочим, но сертификат не продлевается.

При DNS-проверке чаще ломаются TXT-записи, доступ к DNS-провайдеру или права API-токена. Пример: администратор сменил DNS-панель, старый токен остался в скрипте продления, а новый никто не добавил.

Сервер отвечает не тем виртуальным хостом

После переезда сайта сертификат может обновляться на старом сервере, а пользователи уже ходят на новый. В логах старого сервера все выглядит хорошо, но браузер открывает другой узел с просроченным сертификатом. Это типичная ситуация после миграции хостинга, смены балансировщика или ручной правки DNS.

ACME-клиент запускается, но не завершает работу

Cron-задача или systemd timer могут быть активны, но команда продления падает из-за обновления пакетов, нехватки прав, измененного пути к конфигу или ошибки перезапуска веб-сервера. Поэтому проверять нужно не только наличие задачи, но и результат последнего запуска.

Уведомления приходят не тому человеку

Некоторые владельцы узнают о проблеме только после жалобы клиента, потому что письма от хостинга или центра сертификации уходят на старый адрес. Если домен, сервер и SSL обслуживают разные подрядчики, риск выше: каждый уверен, что уведомление получил кто-то другой.

Как проверить готовность сайта к частым продлениям

Начните не с покупки нового сертификата, а с простой инвентаризации. Она показывает, какие узлы действительно нуждаются в контроле.

  1. Выпишите все домены и поддомены, которые открываются по HTTPS.
  2. Отдельно отметьте административные панели, API, платежные страницы, личные кабинеты и тестовые стенды, если ими пользуются клиенты или сотрудники.
  3. Проверьте, какой сертификат отдается снаружи, а не только какой файл лежит на сервере.
  4. Найдите, кто и как продлевает сертификат: панель хостинга, certbot, acme.sh, CDN, облачный балансировщик или подрядчик.
  5. Убедитесь, что после продления веб-сервер или прокси действительно подхватывает новый сертификат.

Для ручной проверки можно открыть сайт в браузере, посмотреть срок действия сертификата и дополнительно проверить домен через консоль или онлайн-инструмент. Но ручная проверка годится только как разовая диагностика. Она не гарантирует, что проблема не появится ночью, в выходной или после следующего изменения DNS.

Какие сигналы должен отслеживать мониторинг

Хороший контроль SSL не ограничивается датой окончания. Владелец сайта должен видеть несколько сигналов одновременно.

Срок действия сертификата

Это базовый сигнал. Мониторинг должен заранее предупреждать, что сертификат скоро закончится. Важно, чтобы предупреждение приходило не в последний день, а с запасом на разбор причины, выпуск нового сертификата и проверку результата.

Ошибка TLS-соединения

Иногда срок еще не истек, но браузер уже ругается: не совпадает домен, нарушена цепочка доверия, сервер отдает старый сертификат или промежуточный сертификат настроен неверно. Для пользователя это выглядит как опасная страница, даже если сайт технически отвечает.

Доступность страницы после HTTPS

Сертификат может быть корректным, но сайт после HTTPS-рукопожатия отдает 500, 502 или заглушку хостинга. Поэтому SSL-мониторинг лучше связывать с обычной проверкой доступности страницы и проверкой контента.

История инцидентов

Если сертификат регулярно продлевается в последний момент, это уже операционный риск. История проверок помогает увидеть повторяющийся сценарий: например, каждый раз после релиза ломается редирект для ACME-проверки или после смены DNS появляются короткие провалы доступности.

Пример рабочего процесса для небольшого сайта

Представим интернет-магазин на домене `example.ru`. Сертификат выпускается автоматически через панель хостинга. Раньше владелец просто получал письмо раз в год и не думал о продлении.

Более надежный процесс выглядит так:

  1. Владелец добавляет главную страницу, корзину и личный кабинет в мониторинг.
  2. Для домена включается проверка SSL-сертификата и срока его действия.
  3. После каждого переезда сайта или смены DNS владелец вручную проверяет, какой сертификат отдается снаружи.
  4. Если приходит предупреждение о сроке SSL, сначала проверяются DNS, панель хостинга и журнал последнего продления.
  5. После исправления важно убедиться, что мониторинг снова видит свежий сертификат и рабочую страницу.

Такой порядок не заменяет администратора, но снижает риск слепой зоны. В Web-Puls можно настроить регулярную проверку доступности сайта и SSL, чтобы быстрее узнать, если сайт перестал открываться или сертификат стал проблемой для пользователей.

Когда нужна техническая поддержка

Если сертификат уже истек, а причина непонятна, лучше не ограничиваться повторным нажатием кнопки «продлить». Сначала надо понять, где именно сбой: в DNS, хостинге, ACME-клиенте, CDN, правах на сервере или цепочке сертификатов.

При сложных случаях можно отправить заявку на платную профессиональную поддержку через форму Web-Puls: https://web-puls.ru/support/. Если удобнее описать ситуацию заранее, используйте контактную информацию: https://web-puls.ru/contacts/. В заявке достаточно указать домен, что видит пользователь в браузере, когда началась проблема и кто обычно обслуживает сервер.

Чек-лист перед следующим продлением

Проверьте этот список до того, как срок сертификата подойдет к концу.

  • Домен открывается снаружи именно на текущем сервере.
  • DNS-записи не указывают на старую инфраструктуру.
  • ACME-клиент запускается по расписанию и завершает работу без ошибок.
  • Служебный путь для HTTP-проверки не закрыт редиректами и правилами безопасности.
  • API-токен для DNS-проверки действует и имеет нужные права.
  • После продления веб-сервер перечитывает новый сертификат.
  • Уведомления о проблемах получает актуальный ответственный человек.
  • Мониторинг проверяет не только SSL, но и доступность важных страниц.

Вывод

Сокращение сроков SSL/TLS-сертификатов делает автоматизацию обязательной, но не отменяет контроля. Продление может сорваться из-за DNS, переезда сайта, ошибки в cron, внешнего инцидента у центра сертификации или неправильной цепочки сертификатов.

Надежный подход состоит из трех частей: автоматическое продление, внешняя проверка сертификата и понятный порядок реакции на предупреждения. Тогда SSL не превращается в внезапную аварию, а остается обычной технической задачей, которую можно заметить и исправить заранее.

FAQ
Нужно ли вручную проверять SSL каждый день?

Нет, лучше настроить автоматическую проверку срока действия и ошибки TLS, а вручную разбирать только предупреждения.

Что делать, если сертификат уже истек?

Проверить домен, DNS, ACME-клиент, права на сервере и логи выпуска; если причина непонятна, обратиться за технической поддержкой.

Еще по теме

Проверьте свой сайт прямо сейчас

Введите адрес сайта: Web-Puls покажет HTTP-код, время ответа и базовую диагностику. Для постоянного контроля можно подключить мониторинг.

Нужна помощь с восстановлением сайта?

Опишите проблему в короткой заявке. Команда OpenStart оценит задачу и предложит формат платной поддержки.

Отправить заявку