11 Outils pour surveiller l’expiration des certificats SSL à partir du cloud et des scripts

Il n’y a pas de repos pour le webmaster. Il y a toujours quelque chose à faire pour garder les sites Web en bonne santé et pour travailler dans des conditions optimales.


Par exemple, surveillez les certificats SSL pour vérifier s’ils fonctionnent correctement et s’ils n’ont pas expiré.

expired-ssl-cert

Les certificats de clé publique X.509 – ou, comme nous les appelons tous, certificats SSL / TLS – ont une date d’expiration. Après cette date, les sites Web ou applications pour lesquels ils travaillent cesseront simplement d’envoyer et de recevoir des données via un Secure Sockets Layer (ou SSL pour faire court), montrant un avertissement de sécurité à vos visiteurs ou utilisateurs. Par conséquent, en tant que webmaster, vous devez vous assurer que vos certificats n’expirent pas. Cela pourrait être une tâche ennuyeuse si vous avez de nombreux sites ou applications Web à gérer, c’est donc une bonne idée d’avoir quelqu’un (ou quelque chose) pour vérifier les dates d’expiration pour vous et vous avertir lorsque ces dates approchent..

Vous pensez peut-être que vous n’êtes pas si paresseux. Je veux dire, si vous avez un tableau blanc accroché au mur de votre bureau, vous pouvez simplement noter les dates d’expiration avec un marqueur rouge et ajouter quelques points d’exclamation lorsque le moment de renouveler les certificats approche, à droite?

Eh bien, le fait est qu’il y a plus dans la surveillance des certificats que de simplement vérifier périodiquement les dates d’expiration. Il y a plus de certificats que vous ne le pensez – pas seulement celui que vous avez acheté pour votre site – et ce n’est pas seulement la date d’expiration qui doit être vérifiée car les certificats peuvent être révoqués sans que vous ne soyez remarqué. De plus, votre site pourrait être bloqué si votre certificat n’est pas assez bon, ou s’il a été modifié à la suite d’une éventuelle attaque de malware.

Jetons donc un œil à tout ce qui concerne la surveillance des certificats.

Présentation de la chaîne de confiance

Pour être approuvé, un certificat SSL doit pouvoir être retracé jusqu’à la racine de confiance sur laquelle il a été déconnecté. C’est-à-dire, et il doit être lié à une autorité de certification (CA) de confiance via une chaîne de confiance. La chaîne de confiance est composée de trois parties: le certificat racine, les certificats intermédiaires et le certificat serveur.

* Le certificat racine appartient à une autorité de certification, qui le conserve soigneusement dans un magasin de confiance.

* Les certificats intermédiaires restent entre le certificat racine et le certificat serveur, agissant comme intermédiaires entre eux. Il peut y avoir n’importe quel nombre de certificats intermédiaires dans une chaîne de confiance, mais il doit y avoir au moins un.

* Le certificat de serveur est émis pour le domaine spécifique qui doit être inclus dans la chaîne de confiance.

Lorsque vous achetez un certificat SSL, vous obtenez également un ensemble, y compris un certificat racine intermédiaire. Lorsqu’une personne arrive sur votre site Web, son navigateur télécharge votre certificat et suit la chaîne de confiance jusqu’au certificat racine de confiance. Si le navigateur ne peut pas suivre la chaîne, il avertira l’utilisateur d’une éventuelle menace pour la sécurité.

La chaîne de confiance de votre certificat peut entraîner les erreurs si quelque chose n’a pas été correctement configuré. Les problèmes courants incluent le fait que le certificat n’a pas été émis par une autorité de certification de confiance, que les certificats intermédiaires ne sont pas correctement installés ou que votre serveur n’est pas correctement configuré avec votre certificat SSL. Voici quelques-uns des problèmes que les outils de surveillance des certificats peuvent vérifier pour vous.

Ci-dessous, nous listons certains des outils de surveillance de certificats les plus populaires qui pourraient vous libérer de la tâche de surveillance de vos certificats SSL / TLS.

Oh cher!

Oh cher! fait plus que simplement surveiller votre certificat de domaine.

Il effectue une validation complète de la chaîne de confiance de vos certificats, en vérifiant tous vos certificats intermédiaires. S’il détecte un changement dans l’un des certificats, il vous présentera un rapport clair comparant l’avant & après la situation, pour vous permettre de voir s’il y a eu un changement dans l’un des domaines couverts. Ce service recherche également les anciens certificats racine SHA-1, révoqués ou douteux, qui peuvent tous rendre un site indisponible.

Sucuri

La surveillance des certificats SSL n’est qu’une des nombreuses options que Sucuri propose dans sa suite de services pour analyser les sites Web afin de détecter d’éventuels problèmes de logiciels malveillants.

Lorsque le service détecte que des modifications ont été apportées au certificat SSL de votre site Web, il vous envoie immédiatement une alerte afin que vous puissiez prendre les mesures nécessaires. Le service complet de détection des logiciels malveillants de Sucuri est payant, avec des plans à partir de 199,99 $ par an.

Outre les certificats SSL, il analyse également les logiciels malveillants, le spam SEO, l’état de la liste noire, le DNS et la surveillance de la disponibilité.

HTTPS Cop

Ashish Kumar offre une alerte d’expiration de certificat un service gratuitement, juste parce qu’il veut contribuer à rendre le Web plus sûr et également faire connaître son produit HTTPS Cop, qui sera bientôt publié, un ensemble complet d’outils pour vérifier tous les types de problèmes avec les certificats SSL d’un site Web..

Même si le produit complet n’est pas encore sorti, le service d’alerte est pleinement opérationnel. Il vous suffit de saisir l’URL de votre site Web, votre adresse e-mail et vous recevrez une notification deux semaines avant l’expiration de vos certificats. Vous pouvez ajouter autant de sites que vous souhaitez surveiller.

RapidSpike

Grâce à son service de surveillance des certificats SSL, RapidSpike vous tient informé de toutes les informations importantes concernant vos certificats SSL. Une fois le service configuré, RapidSpike vérifiera régulièrement la date d’expiration de chacun de vos certificats. Trente jours avant cette date, le service commencera à vous avertir par le biais de votre méthode préférée, d’abord une fois par semaine puis quotidiennement, pour vous assurer de ne pas oublier. Une fois que vous renouvelez vos certificats, les notifications s’arrêteront jusqu’à l’approche de la nouvelle date d’expiration.

RapidSpike surveille également les informations importantes associées aux certificats, ajoutant à votre site Web une couche de sécurité supplémentaire. Le moniteur de certificats peut être ajouté via une interface utilisateur Web pour tout domaine couvert par le service de surveillance de site Web de RapidSpike, dont le plan de base coûte 40 £ par mois.

Keychest

Keychest les affaires sont avant tout des certificats numériques. Son service propose des rapports hebdomadaires par e-mail et des résumés de tableaux de bord pour tous vos certificats, avec la découverte continue de nouveaux certificats grâce à sa base de données globale. Il propose également une automatisation du renouvellement avec des autorités de certification tierces et la gestion de Let’s Encrypt pour les entreprises..

Avec Keychest, vous pouvez également acheter des certificats, avec un processus d’achat unique en 4 étapes avec calcul du prix. L’achat comprend la génération et le téléchargement de CSR pour Linux et Windows, et l’automatisation complète des renouvellements.

Updown

Updown propose un service de surveillance de site Web simple et peu coûteux, y compris des tests SSL. Une fois le service configuré, vous commencerez à recevoir des alertes en cas de certificats invalides ou expirants. Frais de mise à jour uniquement pour ce que vous utilisez, sans avoir à payer de frais fixes mensuels ou annuels.

Vous achetez des crédits et configurez un moniteur qui fonctionne jusqu’à ce qu’il consomme le crédit. Par exemple, si vous souhaitez consulter deux sites Web chaque minute, cela vous coûtera environ 1,17 € par mois. Les systèmes d’alerte couverts incluent SMS, Webhook, Zapier, Telegram et Slack.

CertsMonitor

CertsMonitor vous propose de résoudre tous les problèmes de vos certificats avant qu’ils ne commencent à vous envoyer des avertissements embarrassants de «connexion non sécurisée». Le service comprend la conservation d’un onglet sur votre cron Let’s Encrypt, la correction des erreurs avant l’expiration des certificats et la possibilité de voir en un coup d’œil si votre certificat de domaine est révoqué ou n’est pas configuré correctement.

Vous pouvez recevoir des rappels par e-mail ou via Slack. Le service est gratuit pour surveiller jusqu’à 2 domaines et a un coût de 29 $ par an pour jusqu’à 30 domaines.

Moniteur d’expiration de certificat

Moniteur d’expiration de certificat est un utilitaire open source qui expose la date d’expiration des certificats TLS en tant que métriques Prometheus, pour ceux qui préfèrent créer leurs propres outils. L’utilitaire peut être construit sur une image Docker ou sur un cluster Kubernetes.

Le projet comprend une documentation abondante pour accéder à un point de terminaison Prometheus pour la surveillance, pour effectuer un simple bilan de santé et pour accéder à de nombreuses jauges et compteurs qui affichent les statistiques vitales des certificats.

Surveillons

Chaque fois que vos certificats doivent être renouvelés ou ne fonctionnent pas, Surveillons vous alertera gratuitement. Le service peut envoyer des notifications à plusieurs contacts au sein d’une équipe par e-mail ou SMS. Il surveille également la disponibilité et les performances, pour garantir que les sites Web restent réactifs et que leurs données restent cryptées. Pour garantir un accès mondial à votre site sécurisé, Let’s Monitor utilise des serveurs répartis dans le monde entier.

De plus, Let’s Monitor propose d’autres services de surveillance avancés, tels que les performances, la disponibilité, les menaces et la connectivité, entre autres. Pour commencer avec tous ces services, il vous suffit de vous inscrire avec une adresse e-mail et un mot de passe.

TrackSSL

TrackSSL est un service Web qui vérifie régulièrement la présence d’erreurs courantes dans vos certificats SSL. Pour commencer à l’utiliser, il vous suffit de créer un compte et d’ajouter vos certificats via l’interface web. Vous recevrez des notifications par e-mail lorsque le service détecte des problèmes avec les certificats, tels que l’expiration en attente ou des hôtes mal configurés.

TrackSSL s’assurera que les changements d’infrastructure n’affectent pas vos certificats, vous envoyant des notifications chaque fois qu’un changement est détecté. Vous pouvez configurer les notifications selon vos besoins, avec la possibilité de vous intégrer à Slack et de recevoir des notifications dans votre canal #devops. Les plans de tarification commencent à 12 $ par an, pour couvrir jusqu’à 20 domaines.

Vérificateur d’expiration de la certification SSL

SSL-cert-check est un script shell gratuit et open-source qui peut être exécuté à partir de cron pour signaler l’expiration des certificats SSL. Il peut envoyer un avertissement par e-mail ou enregistrer des alertes via Nagios. L’utilitaire est livré avec plusieurs options qui peuvent être consultées avec l’option “-h”.

Si vous gérez de nombreux certificats sur un serveur Web, SSL-cert-check peut être utilisé pour imprimer la date d’expiration de chacun d’eux. Si vous ne disposez pas d’un accès local aux fichiers de certificat, vous pouvez utiliser l’option de connectivité réseau de l’utilitaire pour extraire les dates d’expiration des certificats d’un serveur en direct.

Dans le cas où vous devez surveiller un grand nombre de serveurs, vous pouvez placer leurs noms et numéros de port dans un fichier, puis exécuter SSL-cert-check sur ce fichier.

Conclusion

Si vous n’attrapez pas les certificats expirés suffisamment tôt, les conséquences pourraient être vraiment douloureuses. Les outils examinés ici offrent des fonctionnalités de notification qui peuvent vous aider à éviter les problèmes, à vous donner la tranquillité d’esprit et à vous libérer de toutes les préoccupations associées à vos certificats de site Web..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map