Ein abgelaufenes SSL-Zertifikat gehört zu den häufigsten Ursachen für unerwartete Dienststörungen – und gleichzeitig zu den am einfachsten vermeidbaren. Anders als komplexe Infrastrukturprobleme kündigt sich ein Zertifikatsablauf Wochen im Voraus an. Trotzdem trifft er Teams regelmäßig unvorbereitet: weil niemand systematisch auf Ablaufdaten geachtet hat, weil die Auto-Erneuerung still fehlgeschlagen ist, oder weil ein Zertifikat für eine Domain existiert, die aus dem Blick geraten ist.
Warum SSL-Ablauf trotz Auto-Erneuerung ein Betriebsproblem bleibt
Let's Encrypt hat die automatische Zertifikatserneuerung zur Norm gemacht. Für viele Teams fühlt sich das Thema damit erledigt an – certbot oder acme.sh läuft als Cronjob, das Zertifikat erneuert sich alle 60 Tage, fertig. Das stimmt solange, wie alles funktioniert.
In der Praxis schlägt Auto-Erneuerung aus vielen Gründen still fehl:
- Der Webserver-Dienst wurde nach einer Systemänderung nicht korrekt neu gestartet
- Firewall-Regeln blockieren den HTTP-Challenge-Traffic auf Port 80
- DNS-Einträge wurden geändert und zeigen nicht mehr auf den richtigen Server
- Certbot läuft in einem Container, der nicht mehr aktiv ist
- Der Cronjob ist noch vorhanden, schlägt aber seit Wochen fehl – ohne dass es jemand bemerkt
Wenn der Erneuerungsjob scheitert und niemand aktiv überwacht, erfährt das Team vom Problem erst, wenn das Zertifikat abläuft – und Browser Nutzern eine rote Sicherheitswarnung zeigen.
Was automatisiertes SSL-Monitoring prüfen sollte
Einfaches Ablauf-Monitoring reicht nicht aus. Ein vollständiges SSL-Monitoring prüft mehrere Dimensionen:
1. Ablaufdatum und Vorwarnzeit
Der Kerncheck: Wie viele Tage hat das Zertifikat noch? Bewährte Schwellenwerte für Alarme sind 30 Tage für eine erste Warnung und 7 Tage für kritische Eskalation. Wer Wildcard-Zertifikate oder manuell ausgestellte Zertifikate betreibt, braucht einen früheren Warnzeitpunkt – 60 Tage sind hier sinnvoll, da der Erneuerungsprozess manuell angestoßen werden muss.
2. Zertifikatskette und Intermediate-CA
Ein gültiges End-Zertifikat reicht nicht aus, wenn die Intermediate-CA-Zertifikate im Server nicht korrekt ausgeliefert werden. Fehlende Intermediate-Zertifikate führen in manchen Clients (besonders mobilen Browsern und API-Clients mit strengerer Validierung) zu Verbindungsfehlern, obwohl das Zertifikat selbst valide wäre.
3. Subject Alternative Names (SANs)
Moderne SSL-Zertifikate decken oft mehrere Domains über SANs ab. Ein Monitoring sollte prüfen, ob die überwachte Domain tatsächlich in den SANs des ausgelieferten Zertifikats enthalten ist – und nicht nur, ob irgendeines ausgeliefert wird.
4. Protokoll- und Cipher-Suite-Prüfung
TLS 1.0 und 1.1 gelten als unsicher und werden von modernen Clients abgelehnt. Ein reifes SSL-Monitoring prüft, welche TLS-Versionen ein Server aushandelt, und alarmiert, wenn veraltete Protokolle noch aktiv sind.
Ein abgelaufenes Zertifikat ist kein Infrastrukturproblem – es ist ein Monitoring-Problem. Wer aktiv prüft, erfährt es vor den Nutzern.
Wie Monitoring-Intervalle und Standorte die Ergebnisqualität beeinflussen
SSL-Zertifikate werden pro Verbindung ausgeliefert. Das klingt simpel, hat aber praktische Konsequenzen: Wenn ein Load Balancer hinter mehreren Backends steht, können unterschiedliche Backend-Server unterschiedliche Zertifikate ausliefern – etwa weil eines bereits erneuert wurde und ein anderes noch das alte hält. Ein einzelner Check pro Standort erkennt das möglicherweise nicht.
Verteiltes Monitoring aus mehreren geografischen Standorten erhöht die Zuverlässigkeit: Es testet sowohl die Zertifikatsauslieferung als auch das TLS-Handling aus verschiedenen Netzwerkperspektiven. Ein Zertifikat, das aus Frankfurt korrekt ausgeliefert wird, kann aus einer anderen Region bei CDN-Konfigurationsproblemen ein anderes Zertifikat zurückgeben.
Domains, die aus dem Blick geraten
Das klassische Szenario: Ein Zertifikat für eine vergessene Subdomain läuft ab. Niemand bemerkt es, weil diese Domain nicht auf der internen "wichtigen Seiten"-Liste steht – aber API-Clients, Partneranbindungen oder interne Tools nutzen sie still. Erst wenn ein System die Verbindung abbricht, beginnt die Fehlersuche.
Gutes Domain-Monitoring zieht die Liste überwachter Domains breit und schließt auch interne Subdomains, Staging-Umgebungen und API-Endpunkte ein. Jede Domain, die aktiv genutzt wird, verdient einen SSL-Check.
Heartbeat-Monitoring als Ergänzung
SSL-Monitoring überwacht von außen, ob ein Zertifikat gültig ist. Es erkennt aber nicht, ob der Erneuerungsprozess intern gesund läuft. Hier hilft ein Heartbeat-Check: Der certbot-Cronjob oder das Erneuerungsskript sendet nach jeder erfolgreichen Ausführung ein Signal an einen Monitoring-Endpunkt. Bleibt das Signal aus, wird alarmiert – lange bevor das Zertifikat tatsächlich abläuft.
Diese Kombination – externer SSL-Check plus interner Heartbeat für den Erneuerungsprozess – schließt die Lücke, die reines Ablauf-Monitoring lässt.
Praktische Checkliste für SSL-Monitoring
- Alle produktiven Domains und Subdomains erfassen und in Monitoring aufnehmen
- Alarmierung bei ≤30 Tagen Restlaufzeit (Warnung) und ≤7 Tagen (kritisch)
- Zertifikatskette vollständig prüfen lassen, nicht nur das End-Zertifikat
- TLS-Protokollversion in den Check einbeziehen
- Heartbeat für automatische Erneuerungsprozesse einrichten
- Staging- und interne Domains nicht auslassen
- Checks aus mehreren Standorten konfigurieren
Was bei einem Ausfall zu tun ist
Wenn trotz Monitoring ein Zertifikat abläuft oder ein Check schlägt an, ist schnelles Handeln gefragt. Die üblichen Schritte: Erneuerung manuell anstoßen (certbot renew --force-renewal), Webserver neu starten, Zertifikatsauslieferung von außen prüfen, und den Erneuerungsprozess auf Fehlerursache untersuchen. Ein dokumentierter Runbook für diesen Fall erspart hektisches Suchen unter Druck.
SSL-Monitoring ist kein kompliziertes Thema – aber es ist eines, das konsequente Umsetzung erfordert. Automatisierte Checks, sinnvolle Schwellenwerte und ein Heartbeat für den Erneuerungsprozess machen den Unterschied zwischen einem kontrollierten Zertifikatswechsel und einem ungeplanten Ausfall.
Weiterführende Informationen
- Let's Encrypt Dokumentation: letsencrypt.org/docs
- Mozilla SSL Configuration Generator: ssl-config.mozilla.org
- RFC 5280 – Internet X.509 Public Key Infrastructure Certificate Profile