Verifica scadenza certificato SSL
verifica scadenza certificato ssl · controllare ssl online · data validità certificato
Come verificare la scadenza del certificato SSL online, leggere date notAfter, capire errori del browser ed evitare interruzioni HTTPS prima della scadenza.
Di Team rete DN01
Certificati TLS scaduti interrompono HTTPS all'istante — i browser mostrano NET::ERR_CERT_DATE_INVALID o simili mentre il sito gira ancora dietro il load balancer. Verificare la scadenza prima di notAfter è igiene operativa di base per ogni dominio HTTPS.
Questa guida spiega quali campi contano nel certificato, come verificarli con l'SSL Certificate Checker e cosa fare quando il rinnovo automatico fallisce silenziosamente su hosting condiviso o Kubernetes ingress.
Cosa cercare nei risultati di scadenza
Il notAfter (valido fino al) del certificato leaf è la scadenza rigida. Certificati wildcard e multi-dominio (SAN) possono elencare più hostname — confermate che ogni nome servito compare nell'estensione Subject Alternative Name.
Confrontate anche notBefore: un cert con notBefore futuro causa errori finché l'orologio non supera quel limite. Gli intermediate nella catena hanno date proprie — un intermediate scaduto rompe la fiducia anche se il leaf sembra corretto.
Come verificare la scadenza online (4 passi)
Aprite l'SSL Certificate Checker, inserite l'hostname (porta 443 implicita) ed eseguite il controllo.
Annotate notAfter per leaf e ogni intermediate nel pannello catena.
Incrociate voci SAN con ogni sottodominio pubblicato (www, api, cdn).
Impostate promemoria 14 giorni prima se rinnovo manuale; 7 giorni se automatizzato con alert.
Errori comuni di scadenza
Job ACME Let's Encrypt falliscono quando HTTP-01 non raggiunge /.well-known o mancano TXT DNS-01 — i pannelli possono mostrare «attivo» mentre il cert live è vecchio.
I load balancer a volte terminano TLS con cert vecchio mentre l'origin ne usa uno nuovo — testate sempre l'hostname pubblico che vedono i client, non solo l'IP origin.
Dopo il rinnovo, verificate con il checker e lasciate drenare sessioni vecchie; le liste HSTS preload non perdonano interruzioni per scadenza.
| Sintomo | Causa probabile | Correzione |
|---|---|---|
| NET::ERR_CERT_DATE_INVALID | Leaf oltre notAfter | Rinnovare e ridistribuire catena completa |
| Untrusted issuer | Intermediate mancante | Installare bundle vendor sul server |
| Hostname mismatch | Nome assente nel SAN | Riemettere con SAN corretto |
| OK mobile, errore desktop | Catena incompleta su un percorso | Confrontare catena dal checker |
Domande frequenti
- Verificare la scadenza significa che il sito è totalmente sicuro?
No. Date valide sono un solo strato. Servono hostname corretto in SAN/CN, versioni TLS moderne, catena completa e niente mixed content. Usate l'SSL Checker per catena e protocollo insieme.
- Con quale frequenza verificare la scadenza del certificato?
Mensilmente in produzione; settimanalmente durante le migrazioni. I certificati Let's Encrypt si rinnovano ogni 90 giorni — automatizzate il rinnovo e verificate con l'SSL Checker dopo i deploy.
- Posso verificare SSL senza openssl installato?
Sì. Il DN01 SSL Certificate Checker esegue l'handshake TLS dal browser, mostra notBefore/notAfter, ordine catena e protocollo negoziato senza strumenti locali.