Dans un monde où les certificats SSL expirent de plus en plus vite et où l’automatisation n’est plus un luxe, mais une nécessité, la surveillance de l’état des certificats Let’s Encrypt devient cruciale pour toute organisation. Bien qu’il puisse sembler qu’un simple script suffise pour une fonction aussi simple, il vaut la peine de parier sur un outil plus puissant comme Checkmk. Il s’agit d’un outil complet, facile à configurer et gratuit dans sa version de base, qui vous permettra non seulement de suivre l’état de vos certificats, mais aussi la santé de l’ensemble de votre infrastructure.
Principales conclusions
-
Checkmk offre une surveillance rapide des certificats Let’s Encrypt sans qu’il soit nécessaire d’installer un agent sur chaque machine.
-
Possibilité de configuration automatisée et d’alertes précises par courrier électronique lorsqu’un certificat est sur le point d’expirer.
-
Checkmk peut être exécuté sur une petite machine VPS ou localement – même en tant qu’application secondaire sur le NAS.
-
Grâce à un système de règles et de dossiers, les utilisateurs peuvent gérer de manière centralisée tous les certificats et les hôtes à partir d’une seule console.
-
Le système évite les fausses alarmes grâce à l’utilisation d’états doux et durs.
Table des matières
-
Pourquoi surveiller les certificats de Let’s Encrypt ?
-
Qu’est-ce que Checkmk et quelle édition choisir ?
-
Installation de Checkmk étape par étape
-
Mise en place de la surveillance des certificats – dossiers, hôtes et règles
-
Notifications par courrier électronique et alertes de test
-
Optimisation et prévention des fausses alarmes
-
Options supplémentaires – check_httpv2 et noms d’hôtes multiples
-
Quel est l’avenir des certificats SSL ?
-
Résumé
Pourquoi surveiller les certificats de Let’s Encrypt ?
Les certificats SSL sont aujourd’hui la pierre angulaire de la sécurité en ligne. Cependant, Let’s Encrypt fonctionne différemment des émetteurs traditionnels : ses certificats ne sont valables que 90 jours. Avec le renouvellement automatique, toute défaillance peut entraîner l’indisponibilité d’un site. En surveillant les certificats, nous pouvons détecter une défaillance à l’avance et éviter un temps d’arrêt ou une crise d’image.
Qu’est-ce que Checkmk et quelle édition choisir ?
Checkmk est un puissant outil de surveillance disponible en deux versions :
-
Checkmk Raw – une version open source gratuite, idéale pour les utilisateurs techniques.
-
Checkmk Cloud – une version commerciale avec des performances améliorées et une configuration plus facile des alertes par courriel.
Pour la plupart des utilisateurs, la version Cloud sera plus pratique – après 30 jours, elle passe automatiquement en mode gratuit avec moins de 750 services surveillés.
Installation de Checkmk étape par étape
Il vous suffit de télécharger le paquet .deb adapté à votre distribution Linux, de mettre à jour les paquets et d’installer Checkmk. Le système est basé sur des « sites », c’est-à-dire des instances de surveillance, qui permettent d’effectuer des tests en toute sécurité sans risquer d’endommager l’ensemble de la configuration.
Création de la première page :
Après l’installation, vous pouvez déjà vous connecter à partir de votre navigateur en tant que cmkadmin.
Mise en place de la surveillance des certificats – dossiers, hôtes et règles
Commencez par créer un dossier, par exemple « letsencrypt », dans lequel vous placerez les hôtes surveillés uniquement par des contrôles actifs (c’est-à-dire sans installer d’agent). Vous pouvez ajouter les hôtes manuellement ou les importer via CSV (même en collant les noms d’hôtes).
Une fois les hôtes ajoutés, créez une nouvelle règle « Vérifier les certificats » sous Setup > Rules. Définissez, par exemple, 22 jours comme seuil d’avertissement et assignez la règle au dossier letsencrypt. En quelques minutes, le système vérifiera la validité de chaque certificat SSL pour les hôtes ajoutés.
Notifications par courrier électronique et alertes de test
Des notifications bien configurées sont la base d’une surveillance efficace. La version Raw nécessite une configuration MTA (par exemple Nullmailer), tandis que Checkmk Cloud vous permet d’envoyer des notifications directement via smarthost. Vous pouvez assigner une adresse email à un utilisateur dans le groupe Everything et tester la performance des alertes en utilisant la fonction ‘Test notifications’.
Optimisation et prévention des fausses alarmes
Afin d’éviter un déluge de courriels en cas de détérioration momentanée du service, vous pouvez définir des états doux et durs (par exemple, trois tentatives de vérification avant l’envoi d’une notification). Cela permet au système de rester vigilant sans en faire trop.
Options supplémentaires – check_httpv2 et noms d’hôtes multiples
La vérification de base du certificat n’effectue que la poignée de main SSL. Si vous souhaitez vérifier d’autres éléments (par exemple les codes de réponse HTTP, les redirections, le contenu des pages), utilisez check_httpv2.
Pour les certificats contenant plusieurs noms alternatifs (SAN), créez un hôte distinct pour chaque domaine et ajoutez-les tous au dossier letsencrypt.
Quel est l’avenir des certificats SSL ?
Jusqu’en 2029, les navigateurs accepteront des certificats d’une durée de validité maximale de 47 jours. À partir de mars 2025, la limite sera de 100 jours, et Let’s Encrypt prévoit d’émettre des certificats d’une durée de 6 jours. En d’autres termes, seules une surveillance et une automatisation efficaces vous permettront de préserver votre temps de fonctionnement.
Résumé
La mise en œuvre de la surveillance des certificats SSL par Checkmk est un investissement qui sera rapidement rentabilisé. Outre la surveillance de Let’s Encrypt, l’outil permet également d’analyser les performances, l’utilisation du disque, la santé du matériel ou les performances de la base de données.
N’attendez pas que votre certificat expire. Contactez-nous et découvrez les solutions CheckMK !
