Monitor SSL / Certificado
O monitor SSL verifica a validade e a data de expiração do certificado TLS/SSL de um domínio. Ele alerta antes do certificado expirar, evitando que seus usuários vejam erros de segurança no browser.
O que é verificado
A cada check, o worker:
- Abre uma conexão TLS com o servidor
- Obtém o certificado apresentado
- Verifica se o certificado é válido (não expirado, hostname correto, cadeia de confiança válida)
- Calcula quantos dias restam até a expiração
- Define o estado com base nos thresholds
Estados possíveis
| Estado | Condição |
|---|---|
| UP | Certificado válido e com mais de 14 dias para expirar |
| DEGRADED | Certificado válido mas expirando em 14 dias ou menos |
| DOWN | Certificado expirado |
| DOWN | Certificado inválido (hostname incorreto, autoassinado não confiável, cadeia quebrada) |
| DOWN | Servidor não responde na porta 443 |
Quando o estado vai para DEGRADED, você tem no máximo 14 dias para renovar o certificado antes de afetar seus usuários. Configure alertas para esse estado também.
Configuração
Domínio
O domínio cujo certificado deve ser monitorado. Não inclua https:// — apenas o hostname:
suaempresa.com.br
api.suaempresa.com.br
mail.suaempresa.com.brPorta (opcional)
Padrão: 443. Altere se seu servidor HTTPS rodar em porta não padrão.
Informações exibidas no dashboard
Para cada check bem-sucedido, o TheAlert exibe:
- Dias restantes até a expiração
- Subject do certificado (CN ou SAN)
- Issuer — quem emitiu o certificado (Let's Encrypt, DigiCert, Sectigo etc.)
- Data de expiração exata
- Válido para — lista de domínios cobertos (SAN)
Exemplo de leitura
SSL — api.suaempresa.com.br
Estado: DEGRADED
Expira em: 12 dias (2026-04-04)
Subject: api.suaempresa.com.br
Issuer: Let's EncryptPor que monitorar SSL separadamente?
O monitor HTTP/HTTPS já falha se o certificado estiver expirado — mas o problema é que você só descobre depois que expirou, quando os usuários já estão vendo erros de segurança.
O monitor SSL permite:
- Ser alertado antes da expiração — com 14 dias de antecedência (DEGRADED)
- Detectar troca de certificado — se o issuer ou subject mudar inesperadamente
- Monitorar certificados que não têm interface HTTP — ex: servidores de email com TLS
Mesmo usando Let's Encrypt com renovação automática (certbot), é boa prática ter um monitor SSL. Automação falha. Um monitor garante que você saiba quando a renovação automática deixar de funcionar — antes que os usuários percebam.
Casos de uso
Certificado Let's Encrypt com renovação automática Renova a cada 60 dias automaticamente, mas falhas de renovação são silenciosas. O monitor SSL detecta se a renovação não ocorreu.
Múltiplos domínios e subdomínios Crie um monitor SSL para cada domínio crítico: domínio principal, API, painel admin, webmail.
Certificados de terceiros Certificados pagos anuais têm datas fixas. É fácil esquecer. O monitor avisa com antecedência.
Certificados wildcard
Um certificado *.suaempresa.com.br cobre todos os subdomínios mas tem uma data de expiração única. Monitore o domínio mais crítico que o usa.
Mensagens de erro comuns
| Mensagem | Causa |
|---|---|
Certificate expired | Certificado passou da data de validade |
Certificate expires in N days | Aviso de expiração iminente (DEGRADED) |
Hostname mismatch | Certificado não cobre o domínio monitorado |
Self-signed certificate | Certificado autoassinado não confiável |
Certificate chain incomplete | Cadeia de certificados intermediários incompleta |
Connection refused | Servidor não aceita conexões TLS na porta configurada |
Boas práticas
Monitore todos os domínios com HTTPS Crie um monitor SSL para cada domínio e subdomínio que seus usuários acessam. O custo é um monitor a mais no seu plano, mas o valor é enorme.
Configure alertas DEGRADED Certifique-se de que seus canais de alerta estão configurados para disparar em estado DEGRADED, não apenas DOWN.
Combine com monitor HTTP Use SSL + HTTP juntos: o SSL avisa sobre o certificado, o HTTP avisa sobre a aplicação. São complementares.
Pós-renovação: verifique o monitor Após renovar um certificado, confirme que o monitor voltou para UP. Se ficou em DEGRADED, pode ser que o servidor ainda esteja servindo o certificado antigo (problema de deploy).