Site24x7-Tipp: So überwachen Sie die Gültigkeit und das Ablaufdatum Ihrer SSL-/TLS-Zertifikate

„Ihre Verbindung ist nicht sicher“: Diese wenig Vertrauen erweckende Meldung erhalten Website-Besucher, wenn das SSL-Zertifikat einer Website abgelaufen ist. Obwohl die Erneuerung von SSL-Zertifikaten ein einfacher Prozess ist, passiert es selbst bekannten Unternehmen immer wieder, dass das Ablaufdatum eines Zertifikats übersehen wird und dieses abläuft. Neben Umsatzeinbußen kann ein abgelaufenes SSL-Zertifikat mitunter schwerwiegende Auswirkungen auf das Vertrauen der Kunden und den Ruf einer Marke haben.

Gerade bei größeren Unternehmen kann es zeitaufwändig und mühsam sein, die Ablaufdaten von SSL-Zertifikaten manuell zu überwachen. Abhilfe schaffen Monitoring-Lösungen wie Site24x7 von ManageEngine, die Sie rechtzeitig an in Kürze ablaufende SSL-Zertifikate erinnern, damit Sie das Zertifikat rechtzeitig erneuern können.

In diesem Tipp erklären wir, warum ein Monitoring der SSL/TLS-Zertifikate sinnvoll ist. Zudem zeigen wir Ihnen, wie Sie einen Monitor für SSL/TLS-Zertifikate in Site24x7 einrichten, um die Gültigkeitsdauer Ihrer Zertifikate zu überwachen, einen eventuellen Widerruf oder eine Manipulation von Zertifikaten erkennen und sich bei evtl. Problemen automatisch benachrichtigen lassen, damit Sie Ihren Website-Besuchern stets eine sichere Umgebung bieten können.

Was ist ein SSL-Zertifikat?

SSL ist ein Sicherheitsprotokoll, das eine verschlüsselte Verbindung zwischen dem Server und dem Client herstellt. Der Server kann eine Website oder ein Protokoll wie HTTP, FTP, IMAP oder POP sein, während der Client beispielsweise ein Browser sein kann. SSL schützt die auf Online-Plattformen verfügbaren Daten, indem es eine sichere Übertragung sensibler und vertraulicher Informationen (z. B. Passwörter, Kreditkartendaten, personenbezogene Daten etc.) ermöglicht.

SSL-Zertifikate helfen folglich, Kundendaten zu schützen, Websites zu authentifizieren und sichere Web-Transaktionen zu ermöglichen. Websites mit einem SSL-Zertifikat haben eine verschlüsselte HTTPS-Webverbindung, die sich im Browser optisch an einem Schloss-Symbol und dem „https“ am Anfang einer URL erkennen lässt.

Ausgestellt werden SSL-Zertifikate für eine Website oder eine Domäne von einer Zertifizierungsstelle (Certificate Authority (CA)), die als vertrauenswürdige dritte Partei die Authentizität der Website überprüft und bestätigt. Um ein digitales Zertifikat für Ihre Website zu erhalten, können Sie bei einer beliebigen Zertifizierungsstelle eine Anfrage mit Ihrem eindeutigen Namen, Ihrem öffentlichen Schlüssel und Ihrer Signatur stellen. Die Zertifizierungsstelle prüft Ihre Signatur anhand des öffentlichen Schlüssels und verifiziert Ihre Identität, woraufhin Sie ein digitales Zertifikat erhalten. Dieses Zertifikat ist eine Datendatei, die die Identitätsnachweise von Websites, Personen oder Geräten enthält und als Online-Identitätsnachweis dient.

Das digitale Zertifikat, das die Identitätsauthentifizierung ermöglicht und sicherstellt, dass die Verbindung verschlüsselt ist, wird als SSL/TLS-Zertifikat bezeichnet. Ein SSL-Zertifikat umfasst drei Hauptbestandteile: einen öffentlichen Schlüssel, einen privaten Schlüssel und den Betreff (meist der Name des Zertifikats oder der Domäne). Der Browser und der Webserver stellen eine Verbindung über einen SSL-Handshake her, indem sie öffentliche und private Schlüssel ver- und entschlüsseln und so einen Sitzungsschlüssel zur Verschlüsselung aller übertragenen Daten erstellen. Nachdem der Browser die Zertifizierungsstelle und das Zertifikat überprüft hat, kann er den Nutzern versichern, dass die Website sicher ist.


Warum laufen SSL-Zertifikate ab?

SSL-Zertifikate laufen in regelmäßigen Abständen ab, um sicherzustellen, dass diese den aktuellen Sicherheitsstandards entsprechen. Während die Laufzeit früher fünf Jahre betrug, akzeptiert das CA/Browser Forum seit 2022 nur noch SSL-Zertifikate mit einer maximalen Gültigkeit von 397 Tagen – also etwas mehr als einem Jahr.

Durch die kurze Gültigkeitsdauer werden Zertifikate mit veralteten Algorithmen, kompromittierte Zertifikate oder Zertifikate für Domains, deren Besitzer gewechselt hat, schneller ungültig. Gleichzeitig können durch die regelmäßige Überprüfung durch die Zertifizierungsstellen gefälschte Internetseiten schneller erkannt werden. Auch die Gefahr, dass SSL-Zertifikate dupliziert werden, sinkt mit einer kürzeren Gültigkeitsdauer.


Was passiert, wenn ein SSL-Zertifikat abläuft?

Sobald Ihr SSL-Zertifikat abläuft, sind die Transaktionen auf Ihrer Website nicht mehr sicher. Zudem könnten Hacker versuchen, gefälschte Websites zu erstellen, die mit der Ihren identisch sind.

Zudem erweckt die Fehlermeldung „Ihre Verbindung ist nicht sicher“ auf Ihrer Website nicht gerade den Eindruck, dass Sie sich an die neuesten Sicherheitspraktiken halten und verantwortungsbewusst mit den Daten Ihrer Kunden umgehen.

So vermeiden Sie mit Site24x7, dass SSL-Zertifikate unerwartet ablaufen

Die Verwaltung einer Website kann zeitaufwändig und mühsam sein – von der Erneuerung gehosteter Websites und SSL-Zertifikate bis hin zur Erneuerung von Domains. Das All-in-One-Monitoring-Tool Site24x7 hilft Ihnen, die Gültigkeit Ihrer SSL/TLS-Zertifikate automatisiert zu überwachen und benachrichtigt Sie, wenn Zertifikate ablaufen, widerrufen oder manipuliert werden.

So legen Sie einen „SSL/TLS-Certificate Monitor“ in Site24x7 an:

  • Melden Sie sich bei Site24x7 an und gehen Sie zu Admin > Inventory > Monitor > Add Monitors.
  • Auf der „Add Monitors“-Seite wählen Sie „SSL/TSL Certificate“ und geben die folgenden Details an, um den Monitor anzulegen:
    • Display name: Geben Sie einen Namen ein, mit dem Sie diesen Monitor im Dashboard später einfach identifizieren können.
    • Host and port: Geben Sie die IP-Adresse oder den Domänennamen des Hosts und die Portnummer an.

Hinweis:
Sie können Protokolle wie HTTPS, POPS, SMTPS, IMAPS, FTPS und Custom konfigurieren. Der Host muss einen SSL/TLS-Handshake an dem Port akzeptieren. Der Default-Port für HTTPS ist „443“.

Screenshot Site24x7: Monitore für SSL-Zertifikate anlegen
Screenshot Site24x7: Der SSL/TSL Certificate Monitor überwacht automatisch die Gültigkeit Ihrer SSL-Zertifikate.

  • Certificate expiry threshold: Hier geben Sie an, wie viele Tage vor Ablauf des Zertifikats eine Benachrichtigung ausgegeben werden soll. Ihr Monitor schaltet auf Störung, wenn dieser Schwellenwert überschritten wird.
  • Skip hostname verification: Wählen Sie hier „No“. Sie sollten diese Option nur aktivieren, wenn die IP-Adresse oder der Hostname von den auf dem Zertifikat angegeben abweicht.
  • Ignore trust certification path: Mit dieser Option können Sie die SSL/TLS-Zertifikatskette validieren. Aktivieren Sie diese Option, wenn Sie bei einem potenziellen Widerruf Ihres Zertifikats nicht benachrichtigt werden wollen. Standardmäßig ist diese Option deaktiviert, damit ein möglicher Widerruf des Zertifikats Ihres Hosts erkannt werden kann.
  • Force IP Addresses: Verwenden Sie diese IP-Adressen anstelle der per DNS aufgelösten IP-Adressen.
  • Monitoring locations: Wählen Sie ein bestehendes Standortprofil („Location Profile“) oder erstellen Sie ein neues. SSL/TLS-Zertifikatsprüfungen werden nur vom primären Standort aus durchgeführt.
  • Monitor Groups: Wählen Sie eine bestehende „Monitor Group“ oder erstellen Sie eine neue.
  • Dependent on monitor: Hier können Sie bei Bedarf einen Monitor aus der Dropdown-Liste auswählen, um ihn als abhängige Ressource festzulegen und ggf. Alarme zu unterdrücken.
Weitere (englische) Informationen zu den Location Profiles finden Sie hier.
 

Übrigens:
Sie können Monitore in Monitor-Gruppen organisieren, um sich den Überblick zu erleichtern. Wie Sie „Monitor Groups“ erstellen, lesen Sie hier im englischen Hilfe-Dokument.

Hinweis:
Die Konfiguration einer abhängigen Ressource und die Unterdrückung von Alarmen basierend auf dem Status der abhängigen Ressource ist Teil eines besseren Schutzes vor Fehlalarmen.

  • Geben Sie unter „Configuration Profiles“ die Details für die Konfigurationsprofile an:
    • Threshold and Availability: Hier können Sie ein voreingestelltes Schwellenwertprofil aus der Dropdown-Liste auswählen oder einen Schwellenwert erstellen. So werden Sie benachrichtigt, wenn die SHA-1-Fingerprint-Prüfung fehlschlägt oder bevor Ihr Zertifikat abläuft.
    • Tags: Mit dieser Option können Sie Ihren Monitor mit vordefinierten Tags verknüpfen, um die Verwaltung und Organisation zu erleichtern.
    • IT Automation: Hier können Sie eine Automatisierung auswählen, die ausgeführt werden soll, wenn eine bestimmte Situation eintritt.
    • Exclude IT Automation during Scheduled Maintenance: Mit diesem Kontrollkästchen können Sie Automatisierungen während Wartungsperioden ausschließen.
Screenshot Site24x7: Konfigurations- und Alarmeinstellungen für SSL Certificate Monitor
Screenshot Site24x7: Unter „Alert Settings“ können Sie genau festlegen, wer z. B. beim Ablauf eines SSL-Zertifikats benachrichtigt werden soll.

Weitere (englische) Informationen zur IT-Automatisierung finden Sie hier.
  • Unter „Alert Settings“ können Sie folgende Einstellungen vornehmen: 
    • User Alert Group: Wählen Sie die „User Alert Group“ aus, die bei einem Ausfall alarmiert werden soll.
    • Checks performed: Site24x7 führt standardmäßig die folgenden Überprüfungen durch (außer den OCSP-Check):
      • Certificate Validity: Überprüfen Sie die Vertrauenswürdigkeit und Gültigkeit des SSL/TLS-Zertifikats. Um zu überprüfen, ob das Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde, versucht Site24x7 auf das Endbenutzerzertifikat und alle von CAs ausgestellten Zwischenzertifikate zuzugreifen. Wird die SSL/TLS-Zertifikatskette als ungültig oder unterbrochen erkannt, wird Ihr Zertifikat als nicht vertrauenswürdig und ungültig eingestuft. Wenn jedoch eine sichere Verbindung hergestellt werden kann, wird das Zertifikat als vertrauenswürdig und gültig eingestuft.
      • Online Certificate Status Protocol (OCSP) checks: Die OCSP-Prüfung ermöglicht eine einfache Validierung des Widerrufsstatus eines SSL/TLS-Zertifikats. Site24x7 fragt den OCSP-Server der ausstellenden Zertifizierungsstelle anhand der Seriennummer des Zertifikats ab und erkennt anhand der Antwort, ob ein Zertifikat widerrufen wurde oder nicht.

Hinweis:
Der OCSP-Check kann nur durchgeführt werden, wenn Sie Site24x7 erlauben, die SSL/TLS-Zertifikatskette zu prüfen (Dazu müssen Sie die Einstellung „Ignore trust certification path“ deaktivieren).

      • Blacklisted Checks: Site24x7 prüft, ob Ihre SSL/TLS-Zertifizierungsstelle auf einer schwarzen Liste steht oder nicht.
    • On-Call Schedule: Mit dieser Option können Sie bei einem Schichtbetrieb sicherstellen, dass die Benachrichtigungen an die jeweils diensthabenden Teams geschickt werden, damit diese schnell auf Alarme oder Vorfälle reagieren können.
    • Notification profile: Wählen Sie ein Benachrichtigungsprofil aus der Dropdown-Liste oder nutzen Sie das verfügbare Standardprofil. Im Benachrichtigungsprofil können Sie festlegen, wann und wer im Falle eines Ausfalls benachrichtigt werden muss.
  • Third-Party Integrations: Hier können Sie Ihren Monitor bei Bedarf mit einem vorkonfigurierten Drittanbieterdienst verknüpfen.
  • Speichern Sie Ihre Eingaben mit „Save“.

Sobald Sie die Einrichtung des Monitors abgeschlossen haben, scannt Site24x7 Ihre Domain und erkennt automatisch alle zugehörigen Internet-Ressourcen für Ihre Domain. Diese können zu Ihrem Konto hinzugefügt werden, um ein umfassendes Monitoring der Internet-Dienste zu ermöglichen.

KI-gestütztes IT-Monitoring

Mit der All-in-One-Monitoring-Lösung Site24x7 können Sie die Verfügbarkeit und Performance all Ihrer IT-Ressourcen – inklusive Ihrer SSL/TLS-Zertifikate – proaktiv überwachen. Der vorkonfigurierte „SSL/TLS Certificate Monitor“ prüft dazu regelmäßig die Gültigkeit der auf Ihrem Webserver installierten SSL/TLS-Zertifikate und löst einen Alarm aus, bevor sie ablaufen. So können Sie den Widerruf von Zertifikaten erkennen, eine SHA-1-Fingerprint-Prüfung durchführen, um Zertifikatsmanipulationen aufzuspüren, und sogar Zertifizierungsstellen erkennen, die auf einer schwarzen Liste stehen.

Site24x7 unterstützt Sie dabei, fortlaufend die SSL-Zertifikate von benutzerdefinierten und wichtigen Webdiensten wie HTTPS, SMTP-, POP-, IMAP- und FTP-Servern von mehr als 120 globalen Monitoring-Standorten aus zu überwachen und zu verwalten. So fördern Sie die Vertrauenswürdigkeit Ihrer Website und können Ihren Website-Besuchern stets eine sichere Umgebung bieten.

    Jetzt 30 Tage kostenlos testen
    Screenshot Site24x7: SSL/TLS Certificate Monitor
    Screenshot Site24x7: Der vorkonfigurierte „SSL/TLS Certificate Monitor“ prüft regelmäßig, ob Ihre SSL-Zertifikate gültig sind.

    Kostenloser Check Ihres SSL-Zertifikats:
    Sie wollen wissen, wie lange Ihr SSL-Zertifikat noch gültig ist oder sich die Zertifikatskette ansehen?
    Dann geben Sie hier Ihren Domänennamen ein und finden Sie es mit dem kostenlosen SSL-Check heraus!

    ManageEngine – Support & Kontakt


    MicroNova AG
    Unterfeldring 6
    85256 Vierkirchen

    Vertrieb
       +49 8139 9300-456
       Sales-ManageEngine@micronova.de

    Technische Unterstützung
       Support kontaktieren