Web-Puls Мониторинг сайта 24/7
Войти Подключить сайт
SSL и сертификаты · 7 мин · обновлено 2026-05-12

SSL-сертификат не продлевается: как заметить проблему до ошибки в браузере

Если SSL-сертификат не продлится вовремя, браузеры начнут показывать предупреждение вместо сайта. Разбираем, как заранее заметить сбой автопродления и что проверить владельцу сайта.

Почему тема SSL снова стала актуальной

8 мая 2026 года Let's Encrypt сообщил на своей статус-странице, что временно останавливает выпуск сертификатов из-за потенциального инцидента, а позже возобновил выпуск и переключил профили обратно на цепочку Generation X. В отдельном сообщении сообщества Let's Encrypt объяснил, что причина была связана с cross-signed сертификатами Generation Y и отсутствующим serverAuth EKU в промежуточных сертификатах.

Для владельца обычного сайта важен не сам термин EKU, а вывод: даже автоматическое продление SSL зависит от внешних сервисов, DNS, настроек сервера, ACME-клиента и доступа к файлам проверки. Если один элемент цепочки ломается, сайт может продолжать открываться сегодня, но встретить клиентов ошибкой сертификата позже.

Эта статья не про конкретный инцидент Let's Encrypt, а про практику: как понять, что автопродление SSL-сертификата под угрозой, что проверить вручную и почему мониторинг срока действия сертификата должен быть отдельной регулярной проверкой.

Что происходит, когда SSL-сертификат не продлевается

SSL-сертификат подтверждает браузеру, что соединение с сайтом защищено и домен действительно использует доверенную цепочку сертификатов. У сертификата есть срок действия. Когда срок заканчивается, браузер не обязан показывать сайт как обычно: вместо страницы пользователь может увидеть предупреждение о небезопасном соединении.

Для бизнеса это выглядит как падение сайта, даже если сервер, база данных и код работают. Клиент не разбирается, где именно проблема. Он видит предупреждение, закрывает вкладку, не оформляет заказ, не оставляет заявку и не доверяет проекту.

Автопродление снижает риск, но не убирает его полностью. Оно может не сработать из-за ошибки DNS, закрытого 80 или 443 порта, неправильного webroot, недоступного API центра сертификации, лимитов, сбоя cron-задачи, проблем с правами на сервере или конфликта в конфигурации nginx/Apache.

Как заметить проблему до ошибки в браузере

Главная ошибка владельца сайта — проверять SSL только тогда, когда посетители уже жалуются. Правильнее смотреть на три признака заранее.

До окончания осталось мало времени

Если сертификат истекает скоро, но новая версия еще не выпущена, это повод проверить автопродление. Для большинства сайтов достаточно иметь запас времени, чтобы спокойно исправить DNS, доступ к серверу или настройки certbot/acme.sh без аварийного режима.

Практический пример: интернет-магазин работает на nginx, сертификат продлевается автоматически. Владелец видит, что до окончания осталось несколько дней, но дата нового сертификата не изменилась. Это не «мелочь на потом», а сигнал открыть журнал продления и проверить, почему ACME-клиент не получил новый сертификат.

Цепочка сертификатов изменилась неожиданно

Иногда сертификат формально действителен, но браузеры или старые клиенты могут иначе воспринимать цепочку доверия. Это особенно важно для проектов, где есть мобильные приложения, старые устройства, платежные интеграции или корпоративные клиенты с жесткими настройками безопасности.

Здесь помогает не только проверка даты окончания, но и периодический контроль того, какой сертификат реально отдает сервер. Если после обновления сервер продолжает отдавать старый файл, значит продление прошло не полностью: сертификат выпущен, но веб-сервер не перечитал конфигурацию или использует другой путь к файлу.

Сайт доступен по HTTP, но ломается по HTTPS

Такой сценарий часто сбивает с толку. Главная страница может отвечать, ping может проходить, сервер может быть живым, но HTTPS-подключение все равно завершается ошибкой. Поэтому проверка доступности сайта без проверки SSL дает неполную картину.

Практический пример: лендинг открывается у администратора из панели хостинга, но клиенты видят предупреждение в Chrome. Причина оказывается не в CMS, а в том, что сертификат выпущен для старого домена без www, а текущий сайт открывается с www.

Что проверить вручную

Для быстрой диагностики начните с простого списка.

  1. Откройте сайт в браузере в режиме инкогнито и проверьте именно HTTPS-адрес.
  2. Нажмите на информацию о сертификате и посмотрите домен, срок действия и центр сертификации.
  3. Проверьте основной домен и варианты с www, если они используются.
  4. Убедитесь, что редиректы не ведут на домен, которого нет в сертификате.
  5. Проверьте DNS-записи: домен должен указывать на тот сервер, где настроено продление.
  6. На сервере посмотрите журнал ACME-клиента и дату последней попытки renew.
  7. После ручного продления перезагрузите или перечитайте конфигурацию веб-сервера, если это требуется вашей схеме.

Если у вас нет доступа к серверу, запросите у хостинга или администратора не общий ответ «сайт работает», а конкретные данные: какой сертификат установлен, до какой даты он действует, на какие имена домена он выписан и были ли ошибки при последней попытке продления.

Почему одной cron-задачи недостаточно

Многие владельцы сайтов считают, что если certbot однажды настроен, вопрос закрыт навсегда. На практике cron может выполняться, но продление все равно не будет успешным. Скрипт может завершаться с ошибкой, письмо с ошибкой может уходить на неактуальный адрес, а сервер может хранить новый сертификат в одном месте и отдавать старый из другого.

Еще одна частая проблема — отсутствие внешней проверки. Сервер «знает», что сертификат есть, но пользователь получает не тот результат, потому что запрос проходит через балансировщик, CDN, прокси или другой виртуальный хост. Поэтому важна проверка снаружи: как сайт видит обычный посетитель.

Автоматический мониторинг SSL решает именно эту задачу. Он регулярно подключается к сайту, проверяет сертификат, срок действия и доступность HTTPS. Если что-то идет не так, владелец получает сигнал заранее, а не после жалобы клиента.

Как Web-Puls помогает контролировать SSL

Web-Puls можно использовать как внешний контроль доступности сайта: сервис регулярно проверяет, открывается ли сайт, и помогает быстрее заметить проблему. Для SSL это особенно полезно, потому что сбой сертификата часто выглядит для посетителя как полная недоступность сайта.

Хорошая схема для небольшого проекта выглядит так: автопродление остается на сервере, а Web-Puls проверяет сайт снаружи и показывает, что пользователь действительно может открыть страницу по HTTPS. Так владелец не полагается только на cron и не держит задачу в голове.

Если проблема уже случилась и нужно не только получить уведомление, но и технически восстановить работу SSL, DNS или сервера, можно оставить заявку через форму профессиональной поддержки или воспользоваться контактной информацией. Это уместно, когда нет штатного администратора или ошибка затрагивает продажи.

Чек-лист для владельца сайта

Если сертификат скоро истекает

Проверьте, включено ли автопродление, есть ли успешные записи renew в журнале и не менялись ли недавно DNS, хостинг, CDN или структура домена. Любое изменение инфраструктуры может повлиять на проверку домена при выпуске сертификата.

Если браузер уже показывает ошибку

Не ограничивайтесь очисткой кэша. Проверьте дату сертификата, доменные имена в сертификате, цепочку доверия и то, какой сертификат отдает сервер именно на публичном адресе. После исправления проверьте сайт из другой сети или через внешний мониторинг.

Если сайт работает только у вас

Возможна локальная разница в DNS, кэше, прокси или маршрутизации. В такой ситуации полезно сравнить проверку из браузера, с мобильного интернета и через внешний сервис мониторинга. Если внешний запрос видит ошибку, проблема затрагивает не только ваше устройство.

Вывод

Автоматическое продление SSL-сертификата — полезная базовая настройка, но ее нельзя считать гарантией. Сертификат может не продлиться из-за DNS, сервера, ACME-клиента, внешнего сервиса или ошибки в цепочке выдачи. Чем раньше владелец сайта узнает об этом, тем проще исправить ситуацию без потери заявок и доверия.

Минимальный рабочий подход такой: настроить автопродление, регулярно проверять срок действия сертификата, контролировать HTTPS снаружи и получать уведомления при сбое. Тогда SSL перестает быть скрытым риском и становится обычной управляемой частью поддержки сайта.

Источники инфоповода: официальная статус-страница Let's Encrypt, сообщение сообщества о Generation Y cross-certified subordinate CAs и анонс Let's Encrypt об изменениях сертификатов.

FAQ
Почему SSL-сертификат может не продлиться автоматически?

Из-за ошибок DNS, недоступного сервера, закрытых портов, сбоя ACME-клиента, лимитов или неверной конфигурации веб-сервера.

Достаточно ли проверять сайт в браузере?

Нет. Браузер показывает проблему уже в момент обращения, а мониторинг помогает узнать о риске заранее.

Когда нужна помощь специалиста?

Если ошибка связана с DNS, хостингом, сервером, CDN или цепочкой сертификатов и вы не можете быстро восстановить HTTPS самостоятельно.

Еще по теме

Проверьте свой сайт прямо сейчас

Введите адрес сайта: Web-Puls покажет HTTP-код, время ответа и базовую диагностику. Для постоянного контроля можно подключить мониторинг.

Нужна помощь с восстановлением сайта?

Опишите проблему в короткой заявке. Команда OpenStart оценит задачу и предложит формат платной поддержки.

Отправить заявку