PingdomでSSLサーバー証明書有効期限のチェック

Pigdomのサイト監視(URL監視)機能である Uptime Monitoring には、SSLサーバー証明書のチェック機能があります。

・Certificate monitoring in Uptime checks – Pingdom Administrator Guide
https://documentation.solarwinds.com/en/success_center/pingdom/content/topics/certificate-monitoring-in-uptime-checks.htm

以下の項目をチェックして、問題があれば、設定された通知先にアラートを通知してくれます。

  • 証明書にエラーがないか。
  • 証明書の有効期限が切れていないか。

証明書の設定ミス、更新忘れはありますし、設定にもよりますが、Let’s Encrypt証明書の場合は、自動更新に失敗する可能性もあります。

Pingdomの設定としては、監視対象の追加(Add new)、もしくは編集(Edit)時に、監視対象のURLを入力してから、「Optional」タブを選択。


 

「Optional」タブでは、スクロールして、以下の赤枠の2箇所で、SSLサーバー証明書のチェックに関する設定ができます。


 

「Monitor SSL/TLS certificate」は、「証明書のチェックを実施するかどうか」で、デフォルトは「有効」となっています。

「Consider down prior to certificate expiring」は、「有効期限まであと何日になったときに、サイトダウンとみなしてアラート通知するか」で、デフォルトは空欄になっていて、0日です。
これは、有効期限切れ当日(何時間前かはわかりませんが)にならないとアラート通知が届かないことを意味します。

アラート通知が届いてからでも証明書更新手続きが間に合うように、「7日」や「14日」など、必要に応じて適切に設定する必要があるので、注意しましょう。

もう一点、ユーザーガイドに重要な記述があります。

Since the check will be marked as down from this day until the certificate expiring date once again exceeds the given number of days no other types of issues will be detected during this time, we recommend setting up a separate check for the purposes of expiring monitoring.

一度、有効期限が指定した日数となって「サイトダウン」とみなしたときは、証明書を更新するなどして、有効期限が指定した日数を超えるまで、他のタイプのエラーを検出しない、とのこと。
つまり、有効期限間近によるサイトダウンを解消しない限り、
「サーバー障害やコンテンツ障害などの、本当の意味でのサイトダウン」
を検知できません!

これは非常に重要なポイントですね。
ですので、Pingdomとしては、
「サイトダウン検知と、SSLサーバー証明書の有効期限は、別のエントリーでチェックすることをおすすめする」
とのこと。

有効期限間近は、別タイプのエラーととらえて、サイト監視は継続してほしいところです。
他のサイト監視サービスでも同様かどうかはわかりませんが、ちょっと残念な仕様ですね。

実際のところは、証明書チェックのためだけにエントリーを2つ使うのはもったいないので、以下のような方法をとるのが現実的かな、と思います。

  • 有効期限の日数指定をできるだけ短くする。
  • 有効期限のアラートが届いたときのみ、一時的に有効期限の監視を0日とする。
  • 有効期限のアラートが届いたときのみ、一時的にサイト監視用のエントリーを追加する。

一時的に設定変更したあとは、元に戻す手間がかかりますし、戻し作業を忘れてしまいそうで、イマイチですね。。

証明書の有効期限は、既に用意してある自前のNagiosで監視したほうがよいかも。。

(参考)
・NagiosでSSLサーバー証明書の有効期限を監視
https://inaba-serverdesign.jp/blog/20150825/nagios_ssl_certificate_sni.html
 

(関連記事)
・HTTP監視サービスPingdomについて(2015年3月版)
https://inaba-serverdesign.jp/blog/20150306/pingdom_201503.html

・Pingdomのサブスクリプション変更で監視対象URLを追加
https://inaba-serverdesign.jp/blog/20210518/pingdom-add-url-subscription.html
 

Follow me!