Alle Bereitstellungsanleitungen Bereitstellung

SSL-Zertifikats-Monitoring: Tools und Einrichtungsanleitung

SSL-Monitoring geht über das Prüfen von Ablaufdaten hinaus. Eine vollständige Monitoring-Einrichtung überwacht: ablaufende Zertifikate, Konfigurationsänderungen, nicht autorisierte Zertifikatsausstellungen und Ausfallzeiten durch SSL-Fehler.

Mit Zertifikatsgültigkeiten, die bis 2029 auf 47 Tage sinken, wird proaktives Monitoring unverzichtbar — eine verpasste Erneuerung macht Ihre Website offline.

Was überwacht werden sollte

WasWarumWie oft
Zertifikats-AblaufAbgelaufenes Zertifikat = Website offlineTäglich
ZertifikatsketteUnvollständige Kette = einige Geräte scheiternWöchentlich
TLS-VersionAlte TLS-Versionen werden von Browsern deaktiviertMonatlich
CT-LogsNicht autorisierte Zertifikate für Ihre Domain erkennenKontinuierlich
OCSP StaplingStapling-Fehler verschlechtert die LeistungWöchentlich
HSTS-HeaderFehlender HSTS = anfällig für DowngradeMonatlich

Kostenlose Monitoring-Optionen

1. Cron-Skript (selbst gehostet)

#!/bin/bash
# /usr/local/bin/ssl-monitor.sh
DOMAINS="example.com www.example.com api.example.com"
WARN_DAYS=30
ALERT_EMAIL="admin@example.com"

for domain in $DOMAINS; do
  expiry=$(echo | openssl s_client -connect "$domain":443 -servername "$domain" 2>/dev/null | openssl x509 -noout -enddate 2>/dev/null | cut -d= -f2)

  if [ -z "$expiry" ]; then
    echo "ERROR: Can't connect to $domain:443" | mail -s "SSL Monitor: $domain unreachable" $ALERT_EMAIL
    continue
  fi

  expiry_epoch=$(date -d "$expiry" +%s 2>/dev/null)
  now_epoch=$(date +%s)
  days_left=$(( (expiry_epoch - now_epoch) / 86400 ))

  if [ "$days_left" -lt "$WARN_DAYS" ]; then
    echo "$domain certificate expires in $days_left days ($expiry)" | mail -s "SSL Expiry Warning: $domain" $ALERT_EMAIL
  fi
done
# Zum Crontab hinzufügen — täglich um 9 Uhr ausführen
0 9 * * * /usr/local/bin/ssl-monitor.sh

2. UptimeRobot (SaaS — kostenlose Stufe)

  1. Registrieren Sie sich bei UptimeRobot
  2. Monitor hinzufügen → Typ: HTTPS
  3. Ihre Domain-URL eingeben
  4. SSL-Ablaufwarnung einstellen: 30 Tage vor Ablauf
  5. Benachrichtigungen konfigurieren: E-Mail, Slack, Webhook

UptimeRobot prüft alle 5 Minuten und warnt bei Ausfällen und Zertifikats-Ablauf.

3. Certificate-Transparency-Monitoring

Überwachen Sie CT-Logs auf nicht autorisierte Zertifikate, die für Ihre Domain ausgestellt wurden:

DienstWieKosten
Cert Spotter (SSLMate)E-Mail-Benachrichtigungen bei neuen ZertifikatenKostenlose Stufe
crt.shManuelle SucheKostenlos
Facebook CT MonitorFacebooks Monitoring-ToolKostenlos

Kostenpflichtige Monitoring-Tools

ToolFunktionenPreis
Better UptimeSSL + Uptime + VorfälleKostenlose Stufe / ab 20 $/Monat
DatadogVollständiges Infrastruktur-Monitoring mit SSL-Prüfungenab 15 $/Host/Monat
PingdomSSL + Uptime + Performanceab 10 $/Monat
StatusCakeSSL-Monitoring + BenachrichtigungenKostenlose Stufe / ab 20 $/Monat

Vollständiges Monitoring-Konfigurationsbeispiel

Für eine Produktionswebsite kombinieren Sie mehrere Ebenen:

Ebene 1: Certbot Auto-Erneuerung (verhindert Ablauf)
Ebene 2: Cron-Skript (erkennt Erneuerungsfehler — tägliche E-Mail)
Ebene 3: UptimeRobot (erkennt SSL-Fehler — 5-Minuten-Prüfungen)
Ebene 4: CT-Monitoring (erkennt nicht autorisierte Zertifikate — kontinuierlich)

Dies gibt Ihnen Tiefenverteidigung — kein einzelner Ausfallpunkt.

Monitoring mit GetHTTPS

GetHTTPS enthält kein integriertes Monitoring (es ist ein Tool zur Zertifikatsausstellung). Aber Ihr Workflow sollte sein:

  1. Zertifikat ausstellen mit GetHTTPS
  2. Erneuerungserinnerungen einrichten — Kalendererinnerung an Tag 60 von 90
  3. SSL-Monitoring hinzufügen — Cron-Skript oder SaaS-Tool als Backup
  4. Certbot in Betracht ziehen für Auto-Erneuerung in der Produktion

Häufig gestellte Fragen

Was ist das Minimum an Monitoring, das ich haben sollte?

Mindestens: eine Kalendererinnerung für die Zertifikatserneuerung (Tag 60 von 90) UND eine automatisierte Prüfung (Cron-Skript oder UptimeRobot). Die Kalendererinnerung deckt normale Erneuerungen ab; die automatisierte Prüfung erkennt Fehler.

Wie überwache ich mehrere Domains?

Das obige Cron-Skript verarbeitet mehrere Domains in einer Schleife. SaaS-Tools wie UptimeRobot ermöglichen das Hinzufügen mehrerer Monitore — einen pro Domain.

Sollte ich auch Staging-/Entwicklungszertifikate überwachen?

Ja, wenn es sich um Let’s Encrypt-Zertifikate handelt, die ablaufen. Ein abgelaufenes Staging-Zertifikat blockiert QA und Entwicklung. Setzen Sie mindestens eine Kalendererinnerung.

Was ist mit der Überwachung der Zertifikatskette, nicht nur des Ablaufs?

Die SSL Labs API bietet automatisierte Kettenverifizierung. Für eine schnelle manuelle Prüfung:

echo | openssl s_client -connect example.com:443 2>/dev/null | grep "Verify return code"

Fügen Sie dies zu Ihrem Cron-Skript für Ketten-Monitoring hinzu.

Verwandte Artikel

Bereitstellung 2026-05-07
So überprüfen Sie den Ablauf eines SSL-Zertifikats
Prüfen Sie, wann Ihr SSL-Zertifikat abläuft — mit dem Browser, OpenSSL oder Online-Tools. Richten Sie Monitoring ein, um unerwarteten Ablauf und Ausfallzeiten zu vermeiden.
SSL & Zertifikate 2026-05-08
Certificate Transparency: So ueberwachen Sie die Zertifikate Ihrer Domain
Certificate Transparency (CT) Logs zeichnen jedes oeffentlich ausgestellte SSL-Zertifikat auf. Erfahren Sie, wie CT funktioniert, wie Sie Ihre Domain auf unautorisierte Zertifikate ueberwachen und wie Sie crt.sh verwenden.
SSL & Zertifikate 2026-05-07
SSL-Zertifikatsgültigkeit: Die 47-Tage-Änderung erklärt
Das CA/Browser Forum hat beschlossen, die Gültigkeit von SSL-Zertifikaten bis 2029 auf 47 Tage zu reduzieren. Erfahren Sie den Zeitplan, was das für Ihre Website bedeutet und wie Sie sich vorbereiten.
Erste Schritte 2026-05-07
So erneuern Sie ein Let's-Encrypt-Zertifikat
Let's-Encrypt-Zertifikate laufen alle 90 Tage ab. Erfahren Sie, wie Sie mit GetHTTPS (manuell) oder Certbot (automatisch) erneuern und sich auf die 47-Tage-Gültigkeit vorbereiten.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten