Saltar al contenido principal

Monitoreo de certificados SSL/TLS

El monitor SSL verifica que el certificado TLS de tu dominio es válido y que no está próximo a caducar. A diferencia de un monitor HTTP, que detecta si un sitio carga o no, este monitor se centra específicamente en el certificado: si es válido, si fue emitido por una autoridad reconocida y cuántos días quedan antes de la expiración.

Un certificado caducado bloquea a todos los visitantes del sitio — los navegadores muestran un error de seguridad y no permiten continuar. Con el monitor SSL recibes un aviso con días o semanas de antelación y puedes renovar antes de que eso ocurra.

¿Cuándo usarlo?

  • Tienes uno o varios dominios con certificados TLS y quieres saber cuándo están próximos a caducar.
  • Usas renovación automática (Let's Encrypt, certbot u similar) y quieres confirmar que funciona — no solo asumir que sí.
  • Tienes varios dominios o subdominios con certificados independientes y quieres supervisarlos desde un único panel.
  • Complementas un monitor HTTP con supervisión explícita del certificado del mismo dominio.

¿Qué comprueba?

En cada check el probe:

  1. Establece una conexión TLS con el host configurado (puerto 443 por defecto).
  2. Examina el certificado presentado por el servidor.
  3. Verifica que el certificado es válido: fue emitido por una autoridad de certificación reconocida, no ha sido revocado y las fechas de vigencia son correctas.
  4. Calcula cuántos días quedan hasta que caduque.
EstadoCuándo ocurre
UPEl certificado es válido. Puede estar próximo a vencer, pero aún funciona correctamente.
DOWNEl certificado ya caducó, no es de confianza, o no se pudo establecer la conexión TLS.
nota

Los certificados autofirmados (self-signed) aparecerán como DOWN porque no están emitidos por una autoridad reconocida. Si tu servidor usa un certificado autofirmado, el monitor SSL no es adecuado para ese caso.

Alertas preventivas

La función más importante del monitor SSL es avisarte antes de que el certificado caduque, cuando aún estás a tiempo de actuar.

Certificado expirado → DOWN

Cuando el certificado ya ha caducado, el monitor pasa a DOWN y se abre un incidente igual que cualquier otra caída. Recibirás la alerta a través de los canales configurados.

Certificado próximo a vencer → Alerta proactiva

Mientras el certificado todavía es válido, el monitor permanece en UP. Sin embargo, cuando los días restantes cruzan ciertos umbrales, el sistema envía una alerta preventiva independiente del estado DOWN.

Los umbrales de aviso son fijos y escalonados: 30 días, 14 días y 7 días. El sistema envía una alerta al cruzar cada umbral, de forma que recibes hasta tres avisos a medida que se acerca la expiración. Cada alerta de cada umbral se envía una sola vez por ciclo de certificado — no se repite en cada check. Cuando renuevas el certificado, el ciclo se reinicia automáticamente y los tres umbrales vuelven a estar disponibles.

Para recibir estas alertas preventivas, activa la opción «Notificar cuando el certificado SSL esté próximo a vencer» en la regla de alerta correspondiente. Si esta opción no está activa, solo recibirás la alerta cuando el certificado ya haya caducado.

Renovación del certificado

Cuando renuevas el certificado, el monitor lo detecta automáticamente en la siguiente comprobación: el estado pasa a UP y recibes la alerta de recuperación. No necesitas hacer ningún cambio en el monitor.

Configuración

CampoDescripción
HostNombre de dominio del servidor (ej. api.ejemplo.com). Sin https:// ni ruta.
PuertoPuerto donde escucha TLS. Por defecto 443; cámbialo si usas un puerto no estándar (ej. 8443, 993 para IMAPS, 636 para LDAPS).
IntervaloFrecuencia de comprobación.
TimeoutTiempo máximo para establecer la conexión TLS antes de marcar el check como DOWN.
Umbral de avisoVentana máxima a partir de la cual se activan los avisos preventivos. Los umbrales del sistema son fijos: 30, 14 y 7 días. Este campo no define un umbral personalizado — filtra cuáles de los tres aplican a este monitor: vacío o 30 → alertas a los 30, 14 y 7 días; 14 → alertas a los 14 y 7 días (no a los 30); 7 → solo a los 7 días; 0 → desactiva todas las alertas preventivas.

Deduplicación de alertas preventivas

Cada umbral (30, 14 y 7 días) genera una sola alerta por ciclo de certificado, independientemente de con qué frecuencia se ejecute el check. No recibirás el aviso de «30 días» en cada comprobación mientras el certificado siga en ese rango — se envía una vez y no se repite hasta el siguiente ciclo.

Cuando renuevas el certificado, el monitor detecta el cambio automáticamente y reinicia el ciclo: los tres umbrales quedan disponibles para el nuevo certificado.

Diferencia con otros monitores

Monitor¿Verifica el certificado?¿Avisa antes de expirar?
TCPNoNo
HTTPSolo si ya caducó (el sitio deja de cargar)No
SSLSí — validez y fecha de caducidad

Si quieres comprobar tanto el contenido de tu sitio como el certificado, configura un monitor HTTP y un monitor SSL para el mismo dominio. Son complementarios: el HTTP verifica que la aplicación responde correctamente; el SSL vigila la salud del certificado antes de que cause problemas.

Incidentes y alertas

El monitor SSL sigue el mismo motor que los demás monitores: los probes consultan verificaciones pendientes, ejecutan el check de forma independiente y reportan el resultado al hub. El hub aplica el consenso multi-región antes de abrir un incidente — un fallo en un solo probe no es suficiente para declarar DOWN.

Buenas prácticas

  • Deja el umbral de aviso vacío o en 30 para recibir los tres avisos escalonados (30, 14 y 7 días). Reduce el valor solo si no quieres alertas tempranas para ese monitor — por ejemplo, 14 si confías en que tu proceso de renovación tarda menos de dos semanas.
  • Activa la opción de notificación preventiva en al menos un canal por cada monitor SSL crítico.
  • Usa el monitor SSL para verificar que tu renovación automática funcionó — no para sustituirla. Un monitor que deja de enviar alertas de «próximo a vencer» confirma que el certificado renovado se aplicó correctamente.
  • Los certificados wildcard (*.ejemplo.com) cubren todos los subdominios con un único certificado, por lo que un solo monitor SSL es suficiente para supervisarlos. Los certificados individuales por subdominio requieren un monitor SSL por cada uno.
  • Si tienes servicios TLS en puertos no estándar (correo, LDAP, bases de datos con TLS), añade un monitor SSL apuntando al puerto correspondiente.

Limitaciones actuales

LimitaciónDetalle
Estado DEGRADEDNo soportado. El resultado es siempre UP o DOWN — no hay estado intermedio.
Certificados autofirmadosEl check los reporta como DOWN al no poder validar la cadena de confianza.
Validación de contenidoEl monitor SSL solo verifica el certificado, no el contenido de la respuesta HTTPS. Para eso, combínalo con un monitor HTTP.
Umbrales de aviso personalizadosLos avisos preventivos se envían únicamente en los umbrales fijos de 30, 14 y 7 días. No es posible configurar ventanas distintas (ej. 20, 10, 5 días). El campo «Umbral de aviso» del monitor solo permite filtrar cuáles de los tres umbrales fijos están activos.