Um certificado SSL vencido é uma das quedas mais constrangedoras: o site está no ar, o server saudável, o código ok — mas cada visitante bate num aviso em tela cheia dizendo que seu site é inseguro. E sempre vence às 2h de um sábado.
Por que certs vencem mesmo com auto-renovação
"Usamos Let's Encrypt, ele auto-renova" é justamente o time que cai. A auto-renovação falha em silêncio de várias formas:
- O cron de renovação parou de rodar (caso perfeito para um dead man's switch).
- O challenge ACME (HTTP-01 / DNS-01) quebrou após uma mudança de config.
- Um CDN, balanceador ou proxy serve um certificado antigo em cache.
- Um cert emitido manualmente que ninguém configurou para renovar.
O que o monitoramento SSL verifica
| Verificação | Por que importa |
|---|---|
| Dias até vencer | A métrica principal — alertar a 30 / 14 / 7 / 1 dias |
| Cadeia do certificado | Um intermediário faltando quebra alguns clientes |
| Correspondência de hostname | O cert deve cobrir o domínio exato (e www / subdomínios) |
| Protocolo e cipher | Versões TLS antigas são marcadas por navegadores e scanners |
Como configurar
Aponte um monitor para sua URL HTTPS e diga com quanta antecedência avisar. A chave é o lead time: 7 dias é tarde se sua renovação está quebrada. Alerte a 30 dias, e de novo a 14 e 7.
# dias até vencer
echo | openssl s_client -servername example.com -connect example.com:443 2>/dev/null | openssl x509 -noout -enddateNão pare no certificado
Um cert vencido é uma de várias quedas silenciosas — junto a um cron morto, um domínio vencido ou um endpoint retornando 500. O Nurbak Watch monitora o vencimento do certificado SSL ao lado de uptime, endpoints e heartbeats, com alertas por Slack, email e WhatsApp com tempo para corrigir.