I certificati SSL sono un elemento fondamentale per garantire la sicurezza dei siti web e la fiducia degli utenti. Una loro scadenza non monitorata può causare interruzioni di servizio, avvisi di sicurezza nei browser e potenziali problemi di reputazione. Per questo motivo è importante adottare strumenti che permettano di controllare in modo proattivo lo stato dei certificati e ricevere avvisi prima che si verifichino criticità.

In questo articolo vedremo come utilizzare LibreNMS per monitorare la scadenza dei certificati SSL dei siti web così da avere sotto controllo le date di rinnovo e intervenire tempestivamente.

Analizzeremo i passaggi necessari per configurare il monitoraggio e impostare notifiche efficaci in modo semplice e centralizzato.

ABILITAZIONE DELLA FUNZIONE SSL

Collegarsi in console sul server LibreNMS quindi eseguire i comandi:

Oppure utilizzare con il comando lnms:

L’opzione ssl_certificates.auto_discover abilita il job schedulato che prova a connettersi ai device attivi sulla porta 443 e memorizza il certificato presentato.

VERIFICA DEI JOB SCHEDULATI

LibreNMS usa due task distinti:

• lnms maintenance:discover-ssl-certificates per la discovery
• lnms maintenance:refresh-ssl-certificates per il refresh periodico dei certificati già noti

Se il tuo scheduler LibreNMS è configurato correttamente, questi task vengono eseguiti automaticamente.

Per provarli subito a mano eseguire i comandi:

VERIFICA DEI CERTIFICATI SCOPERTI

Collegarsi alla Web UI di LibreNMS

Quindi cliccare su Overview → Tools → SSL Certificates

Dovremmo visualizzare una schermata con tutti i certificati discoverati.

Da questa pagina è possibile:

• vedere i certificati scoperti
• aggiungere voci manualmente come host + porta
• mettere in pausa o riattivare il monitoraggio
• rimuovere una voce

AGGIUNTA MANUALE DEI SITI WEB DA MONITORARE

Questo è il passaggio più utile se vuoi controllare siti web pubblici o nomi DNS specifici.

Nella schermata SSL Certificates aggiungere manualmente:

Host: ad esempio www.tuodominio.it
Port: normalmente 443

Cliccare su Add Certificate

Per host HTTPS standard è sufficiente così. LibreNMS supporta proprio l’aggiunta manuale di host e porta da UI.

ESCLUDERE HOST CHE NON SI VUOL MONITORARE

Se si vuole evitare check automatici su certi host impostare ssl_certificates.skip_hosts con lista di hostname o IP.

L’esclusione vale sia per discovery sia per refresh.

Esempio di comando per esclusione:

ATTIVAZIONE DELL’ALERT

LibreNMS indica che esiste una regola di alert già disponibile chiamata Expiring SSL Certificates che avvisa quando il certificato scadrà entro 14 giorni.

Aprire la Web UI quindi Alerts → Alert Rules

Verificare che la regola Expiring SSL Certificates sia presente e abilitata.

Nel caso la regola non fosse presente aggiungerla cliccando su Create rule from collection

Nel campo cerca scrivere SSL in modo che compaia la regola Expiring SSL Certificates quindi cliccare Select

Impostare l’alert come da immagine sovrastante impostando il numero di giorni a proprio piacimento.

Cliccare su Save Rule

Associare quindi il transport che usi già come per esempio:

Email
Telegram
Teams
Slack
webhook

CONSIDERAZIONI FINALI

Questo metodo è perfetto quando si usa la funzione nativa se si vuole:

• monitorare la scadenza del certificato
• vedere un elenco centralizzato dei certificati
• ricevere alert “sta per scadere”
• aggiungere manualmente host web esterni o interni su host/porta
• Limite importante da sapere

La funzione nativa fa bene il monitoraggio della scadenza del certificato presentato dal server, ma se vuoi controlli più “applicativi” del tipo:

• HTTP 200/301 atteso
• contenuto pagina
• timeout applicativo
• warning/critical personalizzati, ad esempio 30/14 giorni
• casi particolari con reverse proxy e virtual host

allora conviene usare anche i Services con plugin Nagios.

LibreNMS supporta i Service Checks tramite Nagios plugins e i servizi devono sempre essere associati a un device.