Tous les guides de déploiement Déploiement

Surveillance des certificats SSL : outils et guide de configuration

La surveillance SSL va au-delà de la vérification des dates d’expiration. Une configuration de surveillance complète surveille : les certificats expirants, les changements de configuration, les émissions de certificats non autorisées et les temps d’arrêt causés par des erreurs SSL.

Avec la validité des certificats qui descend à 47 jours d’ici 2029, la surveillance proactive devient essentielle — un renouvellement manqué met votre site hors ligne.

Que surveiller

QuoiPourquoiÀ quelle fréquence
Expiration du certificatCertificat expiré = site hors ligneQuotidiennement
Chaîne de certificatChaîne incomplète = certains appareils échouentHebdomadairement
Version TLSLes anciennes versions TLS sont désactivées par les navigateursMensuellement
Logs CTDétecter les certificats non autorisés pour votre domaineEn continu
OCSP staplingUn échec de stapling dégrade les performancesHebdomadairement
En-tête HSTSHSTS manquant = vulnérable au downgradeMensuellement

Options de surveillance gratuites

1. Script cron (auto-hébergé)

#!/bin/bash
# /usr/local/bin/ssl-monitor.sh
DOMAINS="example.com www.example.com api.example.com"
WARN_DAYS=30
ALERT_EMAIL="admin@example.com"

for domain in $DOMAINS; do
  expiry=$(echo | openssl s_client -connect "$domain":443 -servername "$domain" 2>/dev/null | openssl x509 -noout -enddate 2>/dev/null | cut -d= -f2)

  if [ -z "$expiry" ]; then
    echo "ERROR: Can't connect to $domain:443" | mail -s "SSL Monitor: $domain unreachable" $ALERT_EMAIL
    continue
  fi

  expiry_epoch=$(date -d "$expiry" +%s 2>/dev/null)
  now_epoch=$(date +%s)
  days_left=$(( (expiry_epoch - now_epoch) / 86400 ))

  if [ "$days_left" -lt "$WARN_DAYS" ]; then
    echo "$domain certificate expires in $days_left days ($expiry)" | mail -s "SSL Expiry Warning: $domain" $ALERT_EMAIL
  fi
done
# Ajouter au crontab — exécuter quotidiennement à 9h
0 9 * * * /usr/local/bin/ssl-monitor.sh

2. UptimeRobot (SaaS — offre gratuite)

  1. Inscrivez-vous sur UptimeRobot
  2. Ajouter un moniteur → Type : HTTPS
  3. Entrez l’URL de votre domaine
  4. Définir l’alerte d’expiration SSL : 30 jours avant l’expiration
  5. Configurer les alertes : e-mail, Slack, webhook

UptimeRobot vérifie toutes les 5 minutes et alerte en cas de temps d’arrêt et d’expiration de certificat.

3. Surveillance Certificate Transparency

Surveillez les logs CT pour détecter les certificats non autorisés émis pour votre domaine :

ServiceCommentCoût
Cert Spotter (SSLMate)Alertes par e-mail pour les nouveaux certificatsOffre gratuite
crt.shRecherche manuelleGratuit
Facebook CT MonitorOutil de surveillance de FacebookGratuit

Outils de surveillance payants

OutilFonctionnalitésPrix
Better UptimeSSL + disponibilité + incidentsOffre gratuite / à partir de 20 $/mois
DatadogSurveillance d’infrastructure complète avec vérifications SSLà partir de 15 $/hôte/mois
PingdomSSL + disponibilité + performanceà partir de 10 $/mois
StatusCakeSurveillance SSL + alertesOffre gratuite / à partir de 20 $/mois

Exemple de configuration de surveillance complète

Pour un site en production, combinez plusieurs couches :

Couche 1 : Renouvellement automatique Certbot (empêche l'expiration)
Couche 2 : Script cron (détecte les échecs de renouvellement — e-mail quotidien)
Couche 3 : UptimeRobot (détecte les erreurs SSL — vérifications toutes les 5 min)
Couche 4 : Surveillance CT (détecte les certificats non autorisés — en continu)

Cela vous donne une défense en profondeur — aucun point de défaillance unique.

Surveillance avec GetHTTPS

GetHTTPS n’inclut pas de surveillance intégrée (c’est un outil d’émission de certificats). Mais votre flux de travail devrait être :

  1. Émettre le certificat avec GetHTTPS
  2. Configurer des rappels de renouvellement — alerte calendrier au jour 60 sur 90
  3. Ajouter la surveillance SSL — script cron ou outil SaaS en secours
  4. Envisager Certbot pour le renouvellement automatique en production

Questions fréquemment posées

Quel est le minimum de surveillance que je devrais avoir ?

Au minimum : un rappel de calendrier pour le renouvellement du certificat (jour 60 sur 90) ET une vérification automatisée (script cron ou UptimeRobot). Le rappel de calendrier couvre les renouvellements normaux ; la vérification automatisée détecte les échecs.

Comment surveiller plusieurs domaines ?

Le script cron ci-dessus gère plusieurs domaines dans une boucle. Les outils SaaS comme UptimeRobot vous permettent d’ajouter plusieurs moniteurs — un par domaine.

Dois-je aussi surveiller les certificats de staging/développement ?

Oui, s’il s’agit de certificats Let’s Encrypt qui expirent. Un certificat de staging expiré bloque le QA et le développement. Au minimum, configurez un rappel de calendrier.

Qu’en est-il de la surveillance de la chaîne de certificat, pas seulement de l’expiration ?

L’API SSL Labs fournit une vérification automatisée de la chaîne. Pour une vérification manuelle rapide :

echo | openssl s_client -connect example.com:443 2>/dev/null | grep "Verify return code"

Ajoutez ceci à votre script cron pour la surveillance de la chaîne.

Articles connexes

Déploiement 2026-05-07
Comment vérifier l'expiration d'un certificat SSL
Vérifiez quand votre certificat SSL expire en utilisant votre navigateur, OpenSSL ou des outils en ligne. Mettez en place une surveillance pour éviter une expiration inattendue et des temps d'arrêt.
SSL et certificats 2026-05-08
Certificate Transparency : comment surveiller les certificats de votre domaine
Les journaux Certificate Transparency (CT) enregistrent chaque certificat SSL emis publiquement. Decouvrez comment CT fonctionne, comment surveiller votre domaine pour les certificats non autorises et comment utiliser crt.sh.
SSL et certificats 2026-05-07
Validité des certificats SSL : le passage à 47 jours expliqué
Le CA/Browser Forum a voté pour réduire la validité des certificats SSL à 47 jours d'ici 2029. Découvrez le calendrier, ce que cela signifie pour votre site web, et comment vous préparer.
Premiers pas 2026-05-07
Comment renouveler un certificat Let's Encrypt
Les certificats Let's Encrypt expirent tous les 90 jours. Apprenez à renouveler avec GetHTTPS (manuel) ou Certbot (automatique), et préparez-vous pour la validité de 47 jours.
Obtenez un certificat SSL gratuit dans votre navigateur
Aucune installation, aucun compte. Votre clé privée ne quitte jamais votre appareil.
Obtenir un certificat