本文概述
- Oh Dear!
- Sucuri
- HTTPS Cop
- RapidSpike
- Keychest
- Updown
- CertsMonitor
- Certificate Expiry Monitor
- Let’s Monitor
- TrackSSL
- SSL Certification Expiration Checker
网站管理员没有休息的余地。总有一些事情可以使网站保持健康并在最佳条件下工作。
例如, 监视SSL证书以检查它们是否正常工作且未过期。
X.509公钥证书(或我们都称为SSL / TLS证书)的有效期限为。在该日期之后, 他们工作的网站或应用程序将仅停止通过安全套接字层(或简称SSL)发送和接收数据, 向访问者或用户显示安全警告。因此, 作为网站管理员, 你需要确保证书不会过期。如果你要维护许多站点或Web应用程序, 那么这可能是一件令人烦恼的任务, 因此, 最好让某人(或某物)检查你的到期日期, 并在这些日期临近时警告你。
你可能会认为自己并不那么懒。我的意思是, 如果你的办公室墙上挂着白板, 则可以用红色标记记下到期日期, 并在续约时间到来时添加几个感叹号, 对吗?
好吧, 事实是, 证书监视中还有更多功能, 只是定期检查到期日期。证书数量比你想象的要多, 不仅是你为站点购买的证书, 而且不仅需要检查到期日期, 因为可以吊销证书而不会引起你的注意。此外, 如果你的证书不够好, 或者由于可能的恶意软件攻击而被更改, 你的站点可能会被阻止。
因此, 让我们看一下与证书监视有关的所有内容。
引入信任链
要获得信任, 必须将SSL证书追溯到已签名的受信任根。也就是说, 它必须通过信任链链接到受信任的证书颁发机构(CA)。信任链由三部分组成:根证书, 中间证书和服务器证书。
*根证书属于CA, CA小心地将其保存在信任存储区中。
*中间证书位于根证书和服务器证书之间, 充当它们之间的中间人。信任链中可以有任意数量的中间证书, 但必须至少有一个。
*为需要包含在信任链中的特定域颁发服务器证书。
购买SSL证书时, 还会得到一个捆绑包, 包括中间根证书。当某人到达你的网站时, 他或她的浏览器将下载你的证书, 并遵循信任链回到受信任的根证书。如果浏览器无法遵循该链条, 则会警告用户可能存在的安全威胁。
如果未正确配置某些内容, 则证书的信任链可能会导致错误。常见的问题包括证书不是由受信任的CA颁发的, 中间证书没有正确安装, 或者服务器没有使用SSL证书正确配置。这些是证书监视工具可以为你检查的一些问题。
下面我们列出了一些最受欢迎的证书监视工具, 这些工具可以使你摆脱监视SSL / TLS证书的任务。
Oh Dear!
Oh Dear!不仅仅是监视你的域证书。
它会对你的证书的信任链进行完整的验证, 并检查所有中间证书。如果它检测到任何证书中的更改, 它将为你提供干净的报告, 比较之前和之后的情况, 以让你查看所涵盖的域中是否有任何更改。该服务还会查找旧的SHA-1, 已吊销或不受信任的根证书, 所有这些都会导致站点不可用。
Sucuri
SSL证书监视只是Sucuri在其服务套件中提供的众多选项之一, 用于扫描网站以检测可能的恶意软件问题。
当该服务检测到你的网站的SSL证书已更改时, 它将立即向你发送警报, 以便你可以采取必要的措施。 Sucuri的完整恶意软件检测服务是收费的, 计划起价为每年199.99美元。
除SSL证书外, 它还扫描恶意软件, SEO垃圾邮件, 黑名单状态, DNS和正常运行时间监视。
HTTPS Cop
Ashish Kumar免费提供了证书过期警报服务, 这是因为他希望为提高Web安全性做出贡献, 并宣传即将发布的产品HTTPS Cop, 这是一整套用于检查所有类型问题的工具网站的SSL证书。
即使尚未发布完整产品, 警报服务也可以完全运行。你只需要输入网站的URL, 你的电子邮件地址, 即可在证书到期前两周收到通知。你可以添加要监视的任意多个站点。
RapidSpike
通过其SSL证书监视服务, RapidSpike可以使你始终获得有关SSL证书的所有重要信息的通知。配置服务后, RapidSpike将定期检查每个证书的到期日期。在该日期之前的30天, 该服务将开始通过你偏爱的方法(每周一次, 然后每天一次)通知你, 以确保你不会忘记。续订证书后, 通知将停止, 直到新的到期日期临近。
RapidSpike还监视与证书关联的重要信息, 从而为你的网站增加了一层额外的安全保护。可以通过网络用户界面为RapidSpike网站监控服务所覆盖的任何域添加证书监视器, 该服务的基本计划每月收费40英镑。
Keychest
Keychest的业务全都与数字证书有关。它的服务每周为你的所有证书提供电子邮件报告和仪表板摘要, 并借助其全球数据库不断发现新证书。它还通过第三方CA提供续订自动化, 并为企业提供Let’s Encrypt管理。
使用Keychest, 你还可以购买证书, 并通过独特的4步购买过程进行价格计算。购买的内容包括用于Linux和Windows的CSR生成和下载, 以及完全自动化的续订。
Updown
Updown提供了一种简单且廉价的网站监视服务, 包括SSL测试。设置服务后, 如果证书无效或过期, 你将开始接收警报。 Updown仅针对你使用的内容收费, 而无需支付固定的月费或年费。
你购买积分, 并设置了一个监控器, 直到消耗完该积分后, 它才能运行。例如, 如果你想每分钟检查两个网站, 则每月的费用约为1.17欧元。涵盖的警报系统包括SMS, Webhook, Zapier, Telegram和Slack。
CertsMonitor
CertsMonitor会解决你的证书中的所有问题, 然后再开始向你的访客发出令人尴尬的”不安全连接”警告。该服务包括在”加密”计划中保留一个标签, 在证书过期之前修复错误, 以及一目了然地查看你的域证书是否被吊销或配置不正确。
你可以通过电子邮件或通过Slack接收提醒。该服务是免费的, 最多可监视2个域, 并且每年费用为29美元(最多30个域)。
Certificate Expiry Monitor
Certificate Expiry Monitor是一个开放源代码实用程序, 它向喜欢构建自己的工具的人公开TLS证书的过期日期作为Prometheus指标。该实用程序可以构建在Docker映像或Kubernetes集群上。
该项目包含大量文档, 可访问Prometheus端点进行监视, 进行简单的健康检查以及访问可显示证书重要统计信息的许多仪表和计数器。
Let’s Monitor
每当你的证书需要更新或不起作用时, 我们的监控器都会免费提醒你。该服务可以通过电子邮件或SMS将通知发送到团队中的多个联系人。它还监视正常运行时间和性能, 以确保网站保持响应状态并保持数据加密。为了确保在全球范围内都能访问你的安全站点, 让我们的Monitor使用全球分布的服务器。
此外, Let’s Monitor还提供其他高级监视服务, 例如性能, 可用性, 威胁和连接性。要开始使用所有这些服务, 你只需注册一个电子邮件地址和密码。
TrackSSL
TrackSSL是一项Web服务, 可定期检查你的SSL证书中是否存在常见错误。要开始使用它, 你只需要创建一个帐户并通过Web界面添加证书。当服务检测到证书问题时(例如, 即将到期的主机或配置错误的主机), 你将收到电子邮件通知。
TrackSSL将确保基础架构更改不会影响你的证书, 并在检测到更改时向你发送通知。你可以根据需要配置通知, 并可以与Slack集成并在#devops频道中获取通知。定价计划每年起价为12美元, 可覆盖多达20个域。
SSL Certification Expiration Checker
SSL-cert-check是一个免费的开源Shell脚本, 可以从cron运行以报告SSL证书过期。它可以通过电子邮件发送警告或通过Nagios记录警报。该实用程序带有几个选项, 可以使用” -h”选项进行查看。
如果你在Web服务器上管理多个证书, 则可以使用SSL-cert-check打印每个证书的到期日期。如果你没有本地访问证书文件的权限, 则可以使用实用程序的网络连接选项从实时服务器中提取证书的到期日期。
如果需要监视很多服务器, 可以将它们的名称和端口号放在文件中, 然后对该文件运行SSL-cert-check。
总结
如果你没有及早捕获过期的证书, 后果将非常痛苦。此处介绍的工具提供了通知功能, 可以帮助你避免问题, 使你安心, 并使你摆脱与网站证书相关的所有担忧。
评论前必须登录!
注册