WatchI 2020 udløb et certifikat på en central Microsoft Teams-tjeneste og låste millioner af mennesker ude midt i en pandemi, midt på arbejdsdagen. Det var ikke et avanceret angreb eller en hardwarefejl — det var en dato, der passerede i en kalender, som ingen holdt øje med. Kan det ske for Microsoft med alle deres ingeniører, kan det ske for dig. Det gode er, at dette er et af de mest forudsigelige nedbrud i hele it-verdenen: hvert certifikat fortæller dig på forhånd præcis, hvornår det vil fejle.
Hvorfor certifikater udløber stille
TLS-certifikater har en fast levetid — ofte 90 dage, og kortere for hvert år. Fornyelse er som regel automatiseret, hvilket netop er grunden til, at den får teams til at holde op med at tænke på det. Men automatisering fejler i stilhed: et cron-job stopper efter en servermigrering, en ACME-challenge går i stykker på grund af en firewall- eller DNS-ændring, eller et certifikat på en load balancer eller mailserver er slet ikke dækket af automatiseringen.
Det grusomme er timingen. Intet fortæller dig, at noget er galt, lige indtil det øjeblik, uret tikker forbi udløbsdatoen — og så bryder alt sammen på én gang. Browsere kaster sikkerhedsadvarsler over hele siden, login fejler, API'er afviser forbindelser, og betaling holder op med at virke. Et problem, du kunne have fikset i ro to uger tidligere, bliver til en brand med alle alarmer i gang.
Hvad du skal overvåge
Overvåg to ting for hvert TLS-endpoint. For det første antal dage til udløb — det er dit tidlige varslingsur. For det andet at certifikatet aktuelt er gyldigt for det værtsnavn, det betjener. At tjekke gyldighed frem for blot tilstedeværelse fanger en helt anden klasse af problemer: et forkert certifikat, en ufuldstændig kæde, som nogle klienter afviser, eller et certifikat, der teknisk set er til stede, men ikke matcher domænet.
Forskellen er værd at forstå, for et certifikat kan være helt uudløbet og stadig bryde dit site, hvis kæden er fejlkonfigureret. God overvågning tjekker begge dele: er det gyldigt nu, og hvor længe, indtil det ikke er det?
Sådan sætter du det op
Tilføj en certifikat-monitor for hver host og port, der serverer TLS. Den oplagte er 443 til web, men de certifikater, der fælder folk, er dem, de glemmer: 465 og 993 til mail samt enhver egen tjeneste eller internt værktøj med sit eget TLS. Gå din infrastruktur igennem, og list hvert sted, et certifikat lever — den liste er næsten altid længere, end folk forventer.
Vælg så et advarselsvindue. 14 dage er et fornuftigt udgangspunkt: langt nok til, at du advares, mens der stadig er tid til at forny i ro, kort nok til, at advarslen betyder noget. Undgå fristelsen til at sætte det til et par dage — du vil have margin til, at selve fornyelsen kan gå galt.
Fang hvert udløb med WatchControl
Det er præcis, hvad certifikat-overvågning er til, og det er noget af den mest værdifulde overvågning, du kan sætte op, fordi fejlen er så total og så undgåelig. I WatchControl tilføjer du en CERT-monitor for hvert endpoint, sætter hvor mange dage før udløb du vil advares, og sender alarmen til e-mail, webhook eller SMS — til en person, ikke et dashboard, ingen tjekker.
Advar tidligt og i trin — 30, 14 og 7 dage — så en overset fornyelse eskalerer i stedet for at smutte igennem. Overvåg hvert endpoint, også interne og mail-tjenester, ikke kun dit hovedwebsite. Og kombinér certifikat-tjek med HTTP- og søgeordstjek, så du dækker både “certifikatet er fint” og “siden virker rent faktisk.” WatchControl gør alt dette fra EU på en gratis plan, så det næste udløb er et, du hører om med to ugers margin.