Mit der SSL-Cert-Check erkennst du frühzeitig ablaufende SSL-Zertifikate

SecurityKategorie
3 min lesen
Wolf-Dieter Fiege

SSL-Zertifikate benötigt dein Webserver, um verschlüsselte Verbindungen zu ermöglichen, beispielsweise für Passworteingaben oder andere sensible Daten. Doch sobald die geschützte Datenübertragung erst einmal eingerichtet ist, vergessen viele Website-Betreiber deine SSL-Zertifikate. Das hat fatale Folgen, denn jedes Zertifikat hat ein Ablaufdatum. Ist dieses erreicht, bekommen Besucher deiner Website eine Fehlermeldung mit dem Hinweis auf das ungültige Zertifikat zu sehen.

Wie du mit SSL-CERT-CHECK auslaufende SSL-Zertifikate auf Linux-Servern erkennst

Auf deinem Linux-Server hast du eine einfache Möglichkeit, auslaufende SSL-Zertifikate frühzeitig zu erkennen. Das kostenlose Tool ssl-certificate-check zeigt dir das Ablaufdatum deiner Zertifikate an und ermöglicht dir das Einrichten einer E-Mail-Benachrichtigung, die dich rechtzeitig vorwarnt.

ssl-cert-check erhälst du unter http://prefetch.net/code/ssl-cert-check. Um das Tool auf deinem Linux-Server zu nutzen, ladest du es mit dem folgenden Kommando herunter:
wget http://prefetch.net/code/ssl-cert-check

Das Tool wird dann in dem aktuellen Verzeichnis abgelegt. Du startest es dort einfach mit:
./ssl-cert-check

Um nun z.B. das Ablaufdatum des Zertifikats “/etc/ssl/certs/website.pem” zu erfahren, rufst du das Tool mit dem Parameter “-c” auf:
./ssl-cert-check -c /etc/ssl/certs/website.pem

Die Prüfung des Ablaufdatums kannst du für beliebige Dienste auch remote erledigen, z.B. wenn du mehrere Server betreibst. Die geben dann einfach den DNS-Namen des Servers an, sowie den Port des zu prüfenden Dienstes (z.B. 443 für SSL oder 993 für IMAPS):
./ssl-cert-check -s [DNS-NAME DES SERVERS] -p 443

Das Ergebnis für das SSL-Zertifikat eines Blogs zeigt z.B., dass noch 230 Tage für die Erneuerung des Zertifikates bleiben:

Das Zertifikat ist gültig (valid) und sollte vor dem 20. Juli 2014 erneuert werden.

So richtest du eine frühzeitige Warnung per E-Mail ein

Damit du diese Abfrage nicht manuell tätigen musst, richtest du dir nun ein Frühwarnsystem ein. Per Cronjob lässt du dafür das folgende Kommando täglich ausführen:
./ssl-cert-check -a -s [DNS-NAME DES SERVERS] -p 443 -x 231 -e <E-Mail-Adresse>

Der Prameter “-a” aktiviert die E-Mail-Benachrichtigung. Die Parameter “-s” und “-p” geben auch hier den Server und Port für die Abfrage an. Mit “-x” definierst du nun die Anzahl an Tagen, die du vor dem Ablauf des Zertifikats gewarnt werden willst. Um die E-Mail-Benachrichtigung direkt zu testen, habe ich hier einen Wert gewählt, der größer als die Gültigkeitsdauer des Zertifikates ist. Du solltest später mindestens 20 Tage wählen, damit du auch dann dein Zertifikat noch rechtzeitig erneuern kannst, wenn du nicht direkt auf die E-Mail reagieren kannst.
Zuletzt gib mit dem Parameter “-e” noch deine E-Mail-Adresse an.