En un mundo en el que los certificados SSL caducan cada vez más rápido y la automatización ya no es un lujo, sino una necesidad, supervisar el estado de los certificados Let’s Encrypt se está convirtiendo en algo crucial para cualquier organización. Aunque pueda parecer que un simple script bastaría para una función tan sencilla, merece la pena apostar por una herramienta más potente como Checkmk. Es una herramienta completa, fácil de configurar y gratuita en su versión básica, que te permitirá no sólo controlar el estado de tus certificados, sino también la salud de toda tu infraestructura.
Principales conclusiones
-
Checkmk ofrece una supervisión rápida de los certificados Let’s Encrypt sin necesidad de instalar un agente en cada máquina.
-
Posibilidad de configuración automatizada y alertas precisas por correo electrónico cuando un certificado esté a punto de caducar.
-
Checkmk puede ejecutarse en una pequeña máquina VPS o localmente, incluso como aplicación secundaria en el NAS.
-
Con un sistema de reglas y carpetas, los usuarios pueden gestionar de forma centralizada todos los certificados y hosts desde una única consola.
-
El sistema evita las falsas alarmas mediante el uso de estados blandos y duros.
Índice
-
¿Por qué controlar los certificados de Let’s Encrypt?
-
¿Qué es Checkmk y qué edición elegir?
-
Instalación paso a paso de Checkmk
-
Configurar la supervisión de certificados: carpetas, hosts y reglas
-
Notificaciones por correo electrónico y alertas de pruebas
-
Optimización y evitación de falsas alarmas
-
Opciones adicionales – check_httpv2 y múltiples nombres de host
-
¿Qué depara el futuro a los certificados SSL?
-
Resumen
¿Por qué controlar los certificados de Let’s Encrypt?
Los certificados SSL son la piedra angular de la seguridad online hoy en día. Sin embargo, Let’s Encrypt funciona de forma diferente a los emisores tradicionales: sus certificados sólo son válidos durante 90 días. Con la renovación automática, cualquier fallo puede provocar que un sitio sea inaccesible. Al supervisar los certificados, podemos detectar un fallo con antelación y evitar tiempos de inactividad o una crisis de imagen.
¿Qué es Checkmk y qué edición elegir?
Checkmk es una potente herramienta de supervisión disponible en dos versiones:
-
Checkmk Raw – una versión gratuita de código abierto, ideal para usuarios técnicos.
-
Checkmk Cloud: una versión comercial con un rendimiento mejorado y una configuración más sencilla de las alertas por correo electrónico.
Para la mayoría de los usuarios, la versión en la Nube será más cómoda: después de 30 días pasa automáticamente al modo gratuito con menos de 750 servicios supervisados.
Instalación paso a paso de Checkmk
Sólo tienes que descargar el paquete .deb adaptado a tu distribución de Linux, actualizar los paquetes e instalar Checkmk. El sistema se basa en «sitios», es decir, instancias de supervisión, que permiten realizar pruebas de forma segura sin arriesgarse a dañar toda la configuración.
Crear la primera página:
Tras la instalación, ya puedes conectarte desde tu navegador como cmkadmin.
Configurar la supervisión de certificados: carpetas, hosts y reglas
Empieza por crear una carpeta, por ejemplo «letsencrypt», donde colocarás los hosts supervisados sólo mediante comprobaciones activas (es decir, sin instalar un agente). Puedes añadir los hosts manualmente o importarlos mediante CSV (incluso pegando los nombres de los hosts).
Una vez añadidos los hosts, crea una nueva regla «Comprobar certificados» en Configuración > Reglas. Establece, por ejemplo, 22 días como umbral de alerta y asigna la regla a la carpeta letsencrypt. En unos minutos, el sistema comprobará la validez de cada certificado SSL para los hosts añadidos.
Notificaciones por correo electrónico y alertas de pruebas
Las notificaciones bien configuradas son la base de una supervisión eficaz. La versión Raw requiere la configuración de un MTA (por ejemplo, Nullmailer), mientras que Checkmk Cloud te permite enviar notificaciones directamente a través de smarthost. Puedes asignar una dirección de correo electrónico a un usuario del grupo Todo y probar el funcionamiento de las alertas mediante la función «Probar notificaciones».
Optimización y evitación de falsas alarmas
Para evitar una avalancha de correos electrónicos cuando se produce un deterioro momentáneo del servicio, puedes establecer estados blandos y duros (por ejemplo, tres intentos de comprobación antes de que se envíe una notificación). Esto mantiene al sistema vigilante sin excederse.
Opciones adicionales – check_httpv2 y múltiples nombres de host
La comprobación básica del certificado sólo realiza el handshake SSL. Si quieres comprobar más cosas (por ejemplo, códigos de respuesta HTTP, redirecciones, contenido de la página), utiliza check_httpv2.
Para los certificados que contienen varios nombres alternativos (SAN), crea un host distinto para cada dominio y añádelos todos a la carpeta letsencrypt.
¿Qué depara el futuro a los certificados SSL?
Hasta 2029, los navegadores aceptarán certificados con un periodo de validez máximo de 47 días. Ya a partir de marzo de 2025, el límite será de 100 días, y Let’s Encrypt tiene previsto emitir certificados de 6 días. Esto significa: sólo una supervisión y automatización eficaces salvarán tu tiempo de actividad.
Resumen
Implantar la supervisión de certificados SSL de Checkmk es una inversión que se amortiza rápidamente. Además de supervisar Let’s Encrypt, la herramienta también permite analizar el rendimiento, el uso del disco, la salud del hardware o el rendimiento de la base de datos.
No esperes a que caduque tu certificado. ¡Ponte en contacto con nosotros y descubre las soluciones de CheckMK!
