Как не забыть о продлении TLS-сертификата
Что контролировать, чтобы сайт не встретил посетителей ошибкой сертификата.
Почему сертификаты ломаются
Даже если сертификат выпускается автоматически, ошибки всё равно возможны. Может измениться DNS, остановиться веб-сервер, сломаться cron-задача или закончиться доступ к файлам.
Поэтому важно проверять не только наличие автоматического продления, но и то, что сервис действительно использует новый сертификат.
Что смотреть
Проверяйте срок действия сертификата, домены внутри SAN и путь к файлам fullchain и privkey.
Если используется несколько сервисов, каждый из них должен читать правильные файлы и перезапускаться или перечитывать конфигурацию после обновления.
Практичный контроль
После продления полезно открыть сайт из браузера и отдельно проверить сертификат командой openssl s_client.
Если сертификат wildcard, нужно убедиться, что он подходит не только основному домену, но и нужным поддоменам.
Мини-правило
Сертификат — это не разовая настройка, а регулярная часть эксплуатации сайта.
Хорошая схема: автоматическое продление, периодическая ручная проверка и короткая заметка о том, где лежат файлы сертификата.