性能指标 - SSL/TLS 证书监控
解读 SSL/TLS 证书监视器的指标
SSL/TLS 证书是服务器安全的重要组成部分,有助于维护在各服务器之间传输数据的安全性。Site24x7 的 SSL/TLS 证书监控持续执行多项检查,提前告知您域名的 SSL/TLS 证书到期情况,通知您任何证书吊销情况,通过 SHA-1 指纹检查识别证书篡改,甚至检测任何被列入黑名单的证书颁发机构。您还可以识别不受信任的证书并深入了解相关信息。这样,您可以提升网站的可信度,确保为访客提供安全的环境。
主仪表板有一个自定义状态横幅,根据监视器的运行状态和状况对各已配置的监视器进行分类显示。 您还可以查看账户中正常运行的监视器数量和剩余告警积分。通过点击"+ 购买更多" 按钮,您可以购买更多监视器和告警积分。 您可以通过邮件分享监视器详情。 邮件只能发送给已同意接收 Site24x7 邮件的已验证用户。
导航至状态仪表板,点击此处列出的 SSL/TLS 证书监视器,即可获取 SSL/TLS 证书不同状态的详细报表。此处还列出了 SSL 主机详情,如显示名称、主机名称和关联的端口。您可以访问汉堡图标执行以下操作:
- 编辑监视器
- 暂停监视器
- 立即轮询监视器
- 以邮件发送性能报表或导出为 PDF
- 安排维护
- 使用状态页面公开监视器报表。
监视器详情页面进一步分为三个仪表板:摘要、中断和清单仪表板。
摘要仪表板
摘要仪表板为您提供 SSL/TLS 证书关键指标的洞察。监视器可用性状态、证书可信度、黑名单检查结果和证书剩余有效天数显示在顶部横幅中。您可以通过选择最近 24 小时到一年内的时间范围来自定义这些报表。
以下监控检查结果决定了 SSL/TLS 监视器的运行状态:
| 监视器状态 | 状态图标 | 影响监视器状态的条件 |
| 正常 |  |
|
| 故障 |  |
|
| 宕机 |  |
|
| 配置 错误 |
 |
|
摘要页面将显示给定 SSL 主机从顶部到底部的证书链,从终端用户证书到所有中间证书。每个证书还会列出该证书的 SHA-1 指纹。对于每个证书,您还可以查看以下详情:
颁发者
提供颁发 SSL/TLS 证书的通用名称(CN)、组织(O)和组织单位(OU)的详情。
颁发对象
列出 SSL/TLS 证书颁发给的组织的详情,包括通用名称(CN)、主题备用名称(SAN)、组织(O)和组织单位(OU)信息。
有效期
列出 SSL/TLS 证书的以下详情:颁发日期、到期日期和剩余有效天数。
基于监视器状态的摘要仪表板:
图 2:监视器宕机(证书已吊销)
图 3:监视器宕机(证书已列入黑名单)
图 4:监视器宕机(证书已过期)
图 5:监视器故障(SHA-1 指纹检查失败)
SHA-1 指纹根据证书内容计算得出,用于验证证书的真实性。即使对证书进行微小修改,也会产生不同的 SHA-1 指纹,表明证书已被篡改。当 SHA-1 指纹检查失败时,监视器将显示为故障状态。每当您的 SSL 证书被替换时,都会自动触发故障告警,因为服务器证书的 SHA 指纹与前一天轮询到的不匹配。故障状态将在第二天的连续轮询期间自动重置为正常状态,除非期间证书发生了更换。您也可以查看签名算法详情。
图 6:监视器宕机(SSL/TLS 证书不受信任)
当 SSL/TLS 证书的信任检查失败时,可能由多种原因导致,例如:
- 中间证书链不正确
- 证书链中缺少中间证书
- 自签名证书
Site24x7 可以清晰地识别证书不受信任的确切原因。
评级
SSL 证书评级基于支持的协议、支持的密码套件、证书密钥交换大小和证书漏洞进行计算。 我们支持以下评级:
| 评级 | 数值 |
|
A+ |
90 及以上 |
| A | 80 至 90 |
| B+ | 75 至 80 |
| B | 65 至 75 |
| C | 50 至 65 |
| D | 35 至 50 |
| E | 20 至 35 |
| F | 20 以下 |
SSL/TLS 证书不受信任:中间证书链不正确
在以下示例中,SSL/TLS 证书链未显示证书颁发机构颁发证书的正确线性顺序。在以下示例中,正确的证书链应为:
服务器证书 > 证书链 #3 > 证书链 #2 > 证书链 #1
SSL/TLS 证书不受信任:证书链中缺少中间证书
在以下示例中,信任检查失败是由于在与客户网站执行 SSL 握手时,SSL/TLS 证书链中缺少证书。此处,服务器证书由证书颁发机构 "Let's Encrypt Authority X3" 颁发。Site24x7 注意到 "Let's Encrypt Authority X3" 是由其他证书颁发机构颁发的,并非根证书颁发机构。
如何解决此问题?
您必须将从证书颁发机构(CA)收到的所有中间证书与您的服务器证书按正确的层次顺序合并,然后将它们捆绑在一起形成一个证书文件。然后,必须将其包含在服务器的负载均衡器中。
SSL/TLS 证书不受信任:自签名证书
此处,信任检查失败是因为服务器证书是自签名的。从证书的颁发者和颁发对象均为 AwesomeSSL 这一事实可以识别,这使得证书无效。
中断
您可以访问监视器详情页面中的"中断"标签页,深入了解各种中断和维护宕机情况。它为您提供足够的信息来进行故障排除。您还可以访问各种中断的根本原因分析报表。访问已列出的监视器中断或维护记录的 
图标后,系统将显示以下选项:
-
- 标记为维护:将中断标记为维护
- 标记为宕机时间:将维护标记为宕机时间
- 编辑备注:添加/编辑备注
- 删除:永久删除中断/维护记录
SSL/TLS 监视器默认每 24 小时轮询一次,因为其配置很少发生变化。但是,您可以随时使用立即轮询选项触发即时轮询以获取即时结果。
清单仪表板
该仪表板记录基本的监视器清单详情,例如主机详情、监视器配置设置(包括轮询位置、许可、监视器创建时间、最后修改时间和阈值设置)。监视器状态消息将自动记录为备注。任何用户评论也将显示在备注部分。
漏洞状态
终端服务器漏洞由域名服务器中不正确的 SSL 协议配置引起。您现在可以检查 SSL 证书的漏洞状态。要检查 SSL 证书的漏洞状态,请按以下步骤操作:
- 登录 Site24x7。
- 导航至 Web > SSL / TLS 证书。
- 选择您要查看的 SSL 证书监视器,然后前往漏洞状态部分。在那里,您可以查看所有漏洞及其关联状态。
了解所有关于 SSL 终端服务器漏洞的信息。
协议与密码套件
协议是数据传输和接收的准则或规则集。
密码套件是用于数据加密和解密的算法。密码套件在不同的网络协议(包括传输层安全(TLS)协议及其他提供网络流量加密的协议)中实现私密通信。密码套件使用一套固定规则将明文(消息)转换为密文(随机字符串)。
要查看密码套件、协议及其状态,请按以下步骤操作:
- 登录 Site24x7。
- 导航至Web > SSL/ TLS 证书。
- 选择您要查看的 SSL/TLS 证书监视器,然后前往协议与密码套件部分。
了解更多:设置 SSL/TLS 证书监视器。
了解更多关于 Site24x7 SSL/TLS 证书监视器的详细信息。