帮助手册 Internet Service 指标 SSL/TLS 证书

性能指标 - SSL/TLS 证书监视器

解释来自 SSL/TLS 证书监视器的指标

SSL/TLS 证书是服务器安全性的重要组成部分,因为它们有助于维护传入和传出其他服务器的数据的安全性。Site24x7 的 SSL/TLS 证书监控持续进行多项检查,并提前提醒您域的 SSL/TLS 证书到期,让您了解任何证书吊销,SHA-1 指纹检查任何证书篡改,甚至检测任何列入黑名单的认证机构. 您还可以识别和收集有关不信任的证书的更多信息。这样,您可以提升您网站的可信度,并确保为您的网站访问者提供一个安全的环境。

主仪表板有一个自定义状态横幅,它通过根据运行状态和状态将它们隔离来识别各种配置的监视器。 您还可以查看帐户中剩余的操作监视器和告警信用的数量。通过单击“+购买更多”按钮,您可以购买额外的监视器和告警点数。您可以通过电子邮件共享监视器详细信息。电子邮件只能发送给那些同意从 Site24x7 接收电子邮件的经过验证的用户。

导航到状态仪表板并单击此处列出的 SSL/TLS 证书监视器,以获取有关 SSL/TLS 证书不同状态的详细报告。 此处还列出了SSL 主机详细信息,例如 显示名称、 主机名和相关 端口。您可以访问三横杠图标来执行以下操作:

  • 编辑监视器
  • 挂起监视器
  • 立即轮询监视器
  • 将性能报表作为电子邮件发送或导出为 PDF
  • 计划维护
  • 通过状态页面公开监视器报表。

监视器详细信息页面进一步分为三个仪表板:摘要中断资源清单仪表板

摘要仪表板 

摘要仪表板可让您深入了解 SSL/TLS 证书的关键指标。监控可用性状态、证书可信度、黑名单检查结果证书剩余有效天数显示在顶部。您可以通过选择过去 24 小时到一年前的时间范围来根据时间段自定义这些报告。 

以下监控检查的结果决定了 SSL/TLS 监视器的运行状态:

监视器状态 状态图标 影响监视器状态的条件
正常  
  • 所有监视器检查均成功
故障的  
停机  
 配置
错误 		  

  • 在初始设置期间  未正确配置监视器

摘要页面将显示从上到下的证书链,从最终用户证书到给定 SSL 主机的所有中间证书。这些证书中的每一个还将列出该证书的SHA-1 指纹。对于每个证书,您还可以查看以下详细信息:

由...颁发

它传递有关  已颁发 SSL/TLS 证书的通用名称 (CN)、 组织 (O)和 组织单元 (OU)的详细信息

颁发给
它列出了已向其颁发 SSL/TLS 证书的组织的详细信息。它包括 通用名称(CN)、 组织(O)和 组织单元(OU)信息。

有效性
它列出了有关 SSL/TLS 证书的以下详细信息; 签发日期、 到期日和 到期日。

根据监控条件监控摘要仪表板:

  1. 图1 
  2. 图2
  3. 图3
  4. 图4
  5. 图5
图 1:监视器已启动

图 2:监视器已关闭(证书已撤销)

图 3:监视器停机(证书列入黑名单)

 

图 4:监视器已关闭(证书已过期)

图 5:监视器出现故障(SHA-1 指纹检查失败)

SHA-1 指纹是根据证书内容计算出来的,用于验证证书的真实性。即使证书中的微小更改也会导致不同的 SHA-1 指纹并指向被篡改的证书。当 SHA-1 指纹检查失败时,监视器将显示为故障的状态。每当您的 SSL 证书被替换时,它都会自动触发故障告警。这是因为服务器证书的 SHA 指纹与前一天轮询的不匹配。故障的状态将在第二天的连续轮询期间自动重置为 UP 状态,除非证书在此期间发生更改。  

图 6:监视器停机(SSL/TLS 证书不受信任)

每当 SSL/TLS 证书的信任检查失败时,可能是由于多种原因,例如,

  • 中间证书链不正确
  • 证书链中缺少中间证书
  • 自签名证书

Site24x7 可以清楚地识别出证书不可信的确切原因。

等级

SSL 证书等级计算基于支持的协议、支持的密码、位长、  证书密钥交换大小和 证书漏洞。根据上述特性进行的计算,我们支持以下等级。

等级列表及其值如下表所示:

 等级   值 

     A+

 90 及以上
     A  80 到 90
     B+  75 到 80
     B  65 到 75
     C  50到 65
     D  35 到 50
     E  20 到35
     F  低于 20


SSL/TLS 证书不受信任:中间证书链不正确

在下面的示例中,SSL/TLS 证书链未显示证书由认证机构颁发的正确线性顺序。在下面的示例中,正确的证书链应该是;

服务器证书 > 证书链 #3 > 证书链 #2 > 证书链 #1

SSL/TLS 证书不受信任:证书链中缺少中间证书

在下面的示例中,信任检查失败是由于在与客户的网站执行 SSL 握手时 SSL/TLS 证书链中缺少证书。此处,服务器证书已由认证机构“Let's Encrypt Authority X3”颁发。Site24x7 注意到“Let's Encrypt Authority X3”已由其他一些证书颁发机构颁发,它不是根证书颁发机构。

如何解决这个问题?

您必须将从证书颁发机构 (CA) 收到的所有中间证书与您的服务器证书按适当的层次顺序组合在一起;然后,将它们绑定在一起形成一个证书文件。然后必须将其包含在服务器的负载均衡中。

SSL/TLS 证书不受信任:自签名证书

此处,由于服务器证书已自签名,因此发生信任检查失败。这可以从证书是由 AwesomeSSL 颁发和颁发给 AwesomeSSL 的事实来识别的,这使得证书无效。 


中断

您可以访问监视器详细信息页面中的“中断”选项卡,以收集有关各种中断和维护停机时间的详细见解。它为您提供了足够的信息来解决问题。您还可以访问各种中断的根本原因分析报表。在访问  列出的监视器中断或维护的图标时,您将看到以下选项: 

    • 标记为维护:将中断标记为维护
    • 标记为停机时间:将维护标记为停机时间
    • 编辑评论:添加/编辑评论
    • 删除:永久删除中断/维护

资源清单仪表板

此仪表板捕获基本监视器清单详细信息,例如主机详细信息、监视器配置设置(包括轮询位置、许可、监视器创建时间、上次修改时间和阈值设置)。监视器状态消息将作为注释自动登录。任何用户评论也将显示在注释部分。

漏洞状态

终端服务器漏洞是 由域服务器中的 SSL 协议配置不当引起的。您现在可以检查 SSL 证书的漏洞状态。要检查 SSL 证书的漏洞状态,

  1. 登录到 Site24x7。 
  2. 导航到Web SSL/TLS 证书
  3. 选择您选择的 SSL 证书监视器并转到漏洞状态部分。在那里您可以查看所有漏洞和您的相关状态。

了解有关SSL 终端服务器漏洞的所有信息。

协议和密码

协议是数据传输和接收的指南或规则集。

Cipher 是一种用于加密和解密数据的算法。密码支持不同网络协议中的私有通信,包括传输层安全 (TLS) 协议和其他提供网络流量加密的协议。密码使用固定规则系统将纯文本或消息转换为密文,即随机字符串。

要查看密码、协议及其状态,

  1. 登录 Site24x7。
2. 导航到WebSSL/TLS 证书
3. 选择您选择的 SSL/TLS 证书监视器,然后转到协议和密码部分。



了解更多设置 SSL/TLS 证书

帮助手册 Internet Service 指标 SSL/TLS Certificate