Проверка срока действия SSL-сертификата
проверка срока ssl сертификата · проверить ssl онлайн · дата действия сертификата
Как проверить срок действия SSL-сертификата онлайн, читать даты notAfter, понимать ошибки браузера и предотвращать простои HTTPS до истечения сертификата.
Автор: Команда DN01
Просроченные TLS-сертификаты мгновенно ломают HTTPS — браузеры показывают NET::ERR_CERT_DATE_INVALID или похожие ошибки, пока сайт ещё работает за балансировщиком. Проверка срока до даты notAfter — базовая операционная гигиена для любого домена с HTTPS.
В этом руководстве разобраны важные поля сертификата, проверка через SSL Certificate Checker и действия, когда автообновление тихо падает на shared-хостинге или Kubernetes ingress.
На что смотреть в результатах проверки срока
notAfter (действителен до) leaf-сертификата — жёсткий дедлайн. Wildcard и multi-domain (SAN) сертификаты могут перечислять несколько имён — убедитесь, что каждое обслуживаемое имя есть в расширении Subject Alternative Name.
Сравните и notBefore: сертификат с будущим notBefore вызывает ошибки, пока время не пересечёт эту границу. Промежуточные сертификаты в цепочке имеют свои даты — просроченный intermediate ломает доверие, даже если leaf выглядит корректно.
Как проверить срок онлайн (4 шага)
Откройте SSL Certificate Checker, введите hostname (порт 443 по умолчанию) и запустите проверку.
Зафиксируйте notAfter для leaf и каждого intermediate в панели цепочки.
Сверьте записи SAN со всеми публикуемыми поддоменами (www, api, cdn).
Поставьте напоминание за 14 дней до истечения при ручном продлении; за 7 дней при автоматизации с алертами.
Типичные сбои при истечении срока
ACME-задачи Let's Encrypt падают, когда HTTP-01 challenge не достигает /.well-known или отсутствуют TXT-записи DNS-01 — панели хостинга могут показывать «active», пока живой сертификат уже старый.
Балансировщики иногда завершают TLS старым сертификатом, а origin использует новый — всегда тестируйте публичный hostname, который видят клиенты, а не только IP origin.
После продления проверьте через checker и дайте старым сессиям завершиться; HSTS preload lists не прощают простои из-за истечения срока.
| Симптом | Вероятная причина | Исправление |
|---|---|---|
| NET::ERR_CERT_DATE_INVALID | Leaf прошёл notAfter | Продлить и задеплоить полную цепочку |
| Untrusted issuer | Отсутствует intermediate | Установить vendor bundle на сервере |
| Hostname mismatch | Имя отсутствует в SAN | Перевыпустить с корректным SAN |
| На мобильном работает, на десктопе нет | Неполная цепочка на одном пути | Сравнить цепочку из checker |
Частые вопросы
- Означает ли проверка срока действия, что сайт полностью защищён?
Нет. Корректные даты — лишь один слой. Нужны правильное имя хоста в SAN/CN, современные версии TLS, полная цепочка и отсутствие mixed content. Используйте SSL Checker для проверки цепочки и протокола вместе.
- Как часто проверять срок действия сертификата?
Ежемесячно для production-сайтов; еженедельно во время миграций. Сертификаты Let's Encrypt обновляются каждые 90 дней — автоматизируйте продление и после деплоя проверяйте через SSL Checker.
- Можно ли проверить SSL без установленного openssl?
Да. DN01 SSL Certificate Checker выполняет TLS-handshake из браузера, показывает notBefore/notAfter, порядок цепочки и согласованный протокол без локальных инструментов.