База знаний

SSL-мониторинг через api-поддомены (Pingdom)

Properties2
tagstubecrown, инфраструктура, мониторинг, ssl
aliasesSSL, Pingdom, Cloudflare, api-поддомен, Сертификаты

время чтения ~2 мин.

SSL-мониторинг через api-поддомены (Pingdom)

Кейс падения hdroom.xxx из-за edge-сертификата Cloudflare и стандарт: проверять SSL по api.домен, а не по основному домену.

1. История инцидента

В феврале 2026 сайт https://hdroom.xxx/ упал.

Cloudflare показывал ошибку:

Invalid SSL certificate

Причина — истёкший SSL-сертификат на сервере.

Что пошло не так

На момент инцидента:

  • Pingdom уже был настроен по всем сиджам
  • SSL-проверки существовали
  • Но алерт не сработал

После расследования выяснили причину:

Cloudflare подставляет свой edge-сертификат даже в случае, когда серверный сертификат уже истёк.

В результате:

  • При проверке hdroom.xxx Pingdom видел валидный сертификат Cloudflare
  • Но не видел проблему на origin-сервере
  • Поэтому алерт не отправился

Итог — сайт упал, мониторинг это не поймал.

2. Вывод

Проверять SSL на основном домене недостаточно, если сайт находится за Cloudflare.

Нужно проверять именно тот сертификат, который стоит на сервере (origin), а не edge-сертификат Cloudflare.

3. Принятое решение

Мы перешли на следующую схему:

  • SSL проверяется не на site.xxx
  • А на api.site.xxx

Например:

  • ❌ Было: hdroom.xxx
  • ✅ Стало: api.hdroom.xxx

API-поддомен не маскируется Cloudflare edge-сертификатом таким же образом и позволяет корректно проверить серверный SSL.

4. Текущий статус

На текущий момент:

  • Добавлены SSL-алерты через api-поддомены по всем сиджам
  • Мониторинг теперь должен корректно ловить истечение сертификатов

5. Стандарт настройки для новых сиджей

При запуске любого нового сиджа:

Обязательно:

  1. Создать SSL-проверку в Pingdom
  2. Проверять api.домен
  3. Название проверки и данные внутри проверки — по аналогии с существующими

Пример:

bookmark_cert

Для нового сайта:

newsite_cert

⚠ Не нужно придумывать новую структуру — просто копировать существующую проверку и менять домен.

6. Таблица для заполнения данных

Для удобства используется единая таблица, где фиксируются данные для SSL-проверок:

👉 [Ссылка на таблицу — https://docs.google.com/spreadsheets/d/1Ffguco0cSekm_pu1FcSqKMo3RQXMgl_j4-vFm3qjSgc/edit?gid=0#gid=0 ]

Заполнять можно по примеру любого уже существующего сайта.

7. Главное правило

Если сайт за Cloudflare —

проверяем сертификат только через api-поддомен.

Проверка основного домена не гарантирует обнаружение проблемы.

8. Риски, которые теперь закрыты

  • Протухший origin-сертификат больше не останется незамеченным
  • Cloudflare не «замаскирует» проблему
  • Истечение сертификатов будет алертиться заранее

🔗 Связанные заметки

Источник: карточка Trello #12 · открыть в Trello

Вид графа

Обратные ссылки