Todos os guias de implantacao Implantacao

Monitoramento de Certificados SSL: Guia de Ferramentas e Configuração

O monitoramento de SSL vai além de verificar datas de expiração. Uma configuração de monitoramento completa observa: certificados expirando, alterações de configuração, emissão não autorizada de certificados e indisponibilidade causada por erros de SSL.

Com a validade dos certificados caindo para 47 dias até 2029, o monitoramento proativo se torna essencial — uma renovação perdida tira seu site do ar.

O que monitorar

O quêPor quêCom que frequência
Expiração do certificadoCertificado expirado = site fora do arDiariamente
Cadeia do certificadoCadeia incompleta = alguns dispositivos falhamSemanalmente
Versão TLSVersões antigas de TLS são desativadas pelos navegadoresMensalmente
Logs CTDetectar certificados não autorizados para seu domínioContínuo
OCSP staplingFalha no stapling degrada o desempenhoSemanalmente
Header HSTSHSTS ausente = vulnerável a downgradeMensalmente

Opções gratuitas de monitoramento

1. Script cron (auto-hospedado)

#!/bin/bash
# /usr/local/bin/ssl-monitor.sh
DOMAINS="example.com www.example.com api.example.com"
WARN_DAYS=30
ALERT_EMAIL="admin@example.com"

for domain in $DOMAINS; do
  expiry=$(echo | openssl s_client -connect "$domain":443 -servername "$domain" 2>/dev/null | openssl x509 -noout -enddate 2>/dev/null | cut -d= -f2)

  if [ -z "$expiry" ]; then
    echo "ERROR: Can't connect to $domain:443" | mail -s "SSL Monitor: $domain unreachable" $ALERT_EMAIL
    continue
  fi

  expiry_epoch=$(date -d "$expiry" +%s 2>/dev/null)
  now_epoch=$(date +%s)
  days_left=$(( (expiry_epoch - now_epoch) / 86400 ))

  if [ "$days_left" -lt "$WARN_DAYS" ]; then
    echo "$domain certificate expires in $days_left days ($expiry)" | mail -s "SSL Expiry Warning: $domain" $ALERT_EMAIL
  fi
done
# Adicionar ao crontab — executar diariamente às 9h
0 9 * * * /usr/local/bin/ssl-monitor.sh

2. UptimeRobot (SaaS — plano gratuito)

  1. Cadastre-se no UptimeRobot
  2. Adicione um monitor → Tipo: HTTPS
  3. Insira a URL do seu domínio
  4. Configure alerta de expiração SSL: 30 dias antes da expiração
  5. Configure alertas: email, Slack, webhook

O UptimeRobot verifica a cada 5 minutos e alerta tanto sobre indisponibilidade quanto sobre expiração de certificado.

3. Monitoramento de Certificate Transparency

Monitore os logs CT para certificados não autorizados emitidos para seu domínio:

ServiçoComoCusto
Cert Spotter (SSLMate)Alertas por email sobre novos certificadosPlano gratuito
crt.shBusca manualGratuito
Facebook CT MonitorFerramenta de monitoramento do FacebookGratuito

Ferramentas de monitoramento pagas

FerramentaRecursosPreço
Better UptimeSSL + uptime + incidentesPlano gratuito / $20+/mês
DatadogMonitoramento completo de infraestrutura com verificações SSL$15+/host/mês
PingdomSSL + uptime + desempenho$10+/mês
StatusCakeMonitoramento SSL + alertasPlano gratuito / $20+/mês

Exemplo de configuração completa de monitoramento

Para um site em produção, combine múltiplas camadas:

Camada 1: Renovação automática do Certbot (previne expiração)
Camada 2: Script cron (detecta falhas na renovação — email diário)
Camada 3: UptimeRobot (detecta erros SSL — verificações a cada 5 min)
Camada 4: Monitoramento CT (detecta certificados não autorizados — contínuo)

Isso oferece defesa em profundidade — nenhum ponto único de falha.

Monitoramento com GetHTTPS

O GetHTTPS não inclui monitoramento integrado (é uma ferramenta de emissão de certificados). Mas seu fluxo de trabalho deve ser:

  1. Emitir certificado com GetHTTPS
  2. Configurar lembretes de renovação — alerta no calendário no dia 60 de 90
  3. Adicionar monitoramento SSL — script cron ou ferramenta SaaS como backup
  4. Considerar Certbot para renovação automática em produção

Perguntas frequentes

Qual é o monitoramento mínimo que devo ter?

No mínimo: um lembrete no calendário para renovação do certificado (dia 60 de 90) É uma verificação automatizada (script cron ou UptimeRobot). O calendário cobre renovações normais; a verificação automatizada detecta falhas.

Como monitoro múltiplos domínios?

O script cron acima lida com múltiplos domínios em um loop. Ferramentas SaaS como UptimeRobot permitem adicionar múltiplos monitores — um por domínio.

Devo monitorar certificados de staging/desenvolvimento também?

Sim, se forem certificados Let’s Encrypt que expiram. Um certificado de staging expirado bloqueia QA e desenvolvimento. No mínimo, defina um lembrete no calendário.

E quanto a monitorar a cadeia de certificados, não apenas a expiração?

A API do SSL Labs fornece verificação automatizada de cadeia. Para uma verificação manual rápida:

echo | openssl s_client -connect example.com:443 2>/dev/null | grep "Verify return code"

Adicione isso ao seu script cron para monitoramento de cadeia.

Artigos relacionados

Implantacao 2026-05-07
Como Verificar a Expiração do Certificado SSL
Verifique quando seu certificado SSL expira usando o navegador, OpenSSL ou ferramentas online. Configure monitoramento para evitar expiração inesperada e tempo de inatividade.
SSL e certificados 2026-05-08
Certificate Transparency: Como Monitorar os Certificados do Seu Domínio
Os logs de Certificate Transparency (CT) registram cada certificado SSL emitido publicamente. Saiba como o CT funciona, como monitorar seu domínio para certificados não autorizados e como usar o crt.sh.
SSL e certificados 2026-05-07
Validade do Certificado SSL: A Mudança para 47 Dias Explicada
O CA/Browser Forum votou para reduzir a validade dos certificados SSL para 47 dias até 2029. Aprenda o cronograma, o que isso significa para seu site e como se preparar.
Primeiros passos 2026-05-07
Como renovar um certificado Let's Encrypt
Os certificados Let's Encrypt expiram a cada 90 dias. Aprenda como renovar com GetHTTPS (manual) ou Certbot (automatico), e prepare-se para a validade de 47 dias.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado