SSL & Ασφάλεια 5 λεπτά ανάγνωση

Έληξε το SSL μου — Πώς το Ανανεώνω;

Τι κάνεις όταν λήξει το SSL πιστοποιητικό: άμεση ανανέωση σε Let's Encrypt, cPanel/Plesk και εμπορικά, γιατί αποτυγχάνει το auto-renew, και πώς αποφεύγεις τη λήξη.

Έληξε το SSL — Τι Συμβαίνει Τώρα;

Όταν λήξει το SSL πιστοποιητικό, ο browser σταματά να εμπιστεύεται το site και δείχνει κόκκινη προειδοποίηση (NET::ERR_CERT_DATE_INVALID / «Your connection is not private»). Πρακτικά, κανείς δεν μπαίνει — και τα email σε σύγχρονους clients μπορεί επίσης να αποτύχουν αν χρησιμοποιούν το ίδιο πιστοποιητικό. Είναι επείγον.

Πρώτα: επιβεβαίωσε ότι όντως έληξε

Μερικές φορές το «σφάλμα SSL» δεν είναι λήξη αλλά ελλιπής αλυσίδα ή λάθος domain. Έλεγξε ημερομηνία λήξης, issuer και αλυσίδα:

Δες την ακριβή ημερομηνία λήξης και κατάσταση του πιστοποιητικού:

→ SSL Certificate Checker

Πώς Ανανεώνεις — Ανάλογα με το Setup σου

Let's Encrypt (certbot)

Τα Let's Encrypt διαρκούν 90 ημέρες και ανανεώνονται αυτόματα — αν λειτουργεί ο μηχανισμός. Για χειροκίνητη ανανέωση:

# Ανανέωση όλων των πιστοποιητικών
sudo certbot renew

# Δοκιμή χωρίς πραγματική ανανέωση (debug)
sudo certbot renew --dry-run

# Ανανέωση συγκεκριμένου & reload web server
sudo certbot renew --cert-name example.com
sudo systemctl reload nginx   # ή apache2

cPanel (AutoSSL)

Στο cPanel το AutoSSL εκδίδει/ανανεώνει δωρεάν πιστοποιητικά αυτόματα. Αν έληξε: SSL/TLS Status → επίλεξε το domain → Run AutoSSL. Αν αποτυγχάνει, συνήθως φταίει DNS που δεν δείχνει στον server ή redirect στο /.well-known/.

Plesk

Στο Plesk: Websites & DomainsSSL/TLS Certificates → η επέκταση «Let's Encrypt» κάνει reissue με ένα κλικ. Επίλεξε να καλύπτει και www. και τυχόν mail subdomain.

Εμπορικό πιστοποιητικό (DigiCert, Sectigo κ.λπ.)

Δεν ανανεώνεται αυτόματα. Αγόρασε/ανανέωσε από τον registrar ή το hosting, παρήγαγε νέο CSR αν ζητηθεί, και εγκατέστησε το νέο πιστοποιητικό + το intermediate (chain) στον server.

⚠️ Μην ξεχάσεις το reload: Ακόμα κι αν η ανανέωση πετύχει, ο web server συνεχίζει να σερβίρει το παλιό πιστοποιητικό από μνήμη μέχρι να κάνεις reload/restart (nginx/apache) ή να επανεκκινήσεις την υπηρεσία mail.

Γιατί Απέτυχε το Auto-Renew (και έληξε)

ΑιτίαΛύση
Μπλοκαρισμένο port 80Το HTTP-01 challenge χρειάζεται ανοιχτό 80· άνοιξέ το ή χρησιμοποίησε DNS-01
Σπασμένο cron / timerΈλεγξε systemctl list-timers ή το cron του certbot
Redirect στο /.well-known/Εξαίρεσε τον φάκελο validation από http→https redirects
Άλλαξες server/IPΤο νέο μηχάνημα δεν είχε στηθεί ο μηχανισμός ανανέωσης
Rate limit Let's EncryptΠολλές προσπάθειες → περίμενε ή χρησιμοποίησε staging για debug

Μετά την Ανανέωση — Επιβεβαίωση

  • Reload τον web server (και τη mail υπηρεσία αν χρειάζεται).
  • Ξανατρέξε τον SSL checker — η ημερομηνία λήξης πρέπει να έχει προχωρήσει και η αλυσίδα να είναι πλήρης.
  • Έλεγξε ότι καλύπτεται και το www. (ή wildcard) — πολλά σφάλματα είναι «σωστό domain, λάθος hostname».

Πώς Να Μη Σε Ξαναπιάσει η Λήξη

Ο μόνος σίγουρος τρόπος είναι proactive monitoring: ειδοποίηση ημέρες πριν τη λήξη, ώστε να προλάβεις. Ένα ληγμένο SSL είναι 100% αποφεύξιμο.

Στήσε αυτόματη παρακολούθηση & ειδοποίηση πριν λήξει οποιοδήποτε SSL:

→ Domain & SSL Monitoring

Έχεις πολλά domains; Έλεγξέ τα όλα μαζί με το Bulk SSL Checker.

Συχνές Ερωτήσεις

Πόσο γρήγορα διορθώνεται ένα ληγμένο SSL;
Άμεσα. Με Let's Encrypt/AutoSSL/Plesk η ανανέωση παίρνει δευτερόλεπτα έως λεπτά. Μόλις κάνεις reload τον web server, το «Not Secure» εξαφανίζεται.
Ανανέωσα αλλά ο browser δείχνει ακόμα ληγμένο — γιατί;
Σχεδόν πάντα δεν έγινε reload του web server, οπότε σερβίρει το παλιό cert από μνήμη. Κάνε systemctl reload nginx (ή apache) και καθάρισε την cache του browser.
Γιατί απέτυχε το certbot auto-renew;
Συχνότερες αιτίες: κλειστό port 80 (HTTP-01 challenge), σπασμένο cron/timer, ή redirect που μπλοκάρει το /.well-known/. Τρέξε sudo certbot renew --dry-run για να δεις το ακριβές σφάλμα.
Πρέπει να φτιάξω νέο CSR για την ανανέωση;
Για Let's Encrypt/AutoSSL όχι — γίνονται αυτόματα. Για εμπορικά πιστοποιητικά, ορισμένες CA ζητούν νέο CSR στο reissue.
Πώς θα προλάβω την επόμενη λήξη;
Στήσε monitoring που σε ειδοποιεί π.χ. 14 ημέρες πριν. Έτσι ένα τυχόν αποτυχημένο auto-renew το πιάνεις πριν προκαλέσει downtime.

Δοκιμάστε αμέσως

SSL Checker Πιστοποιητικό & αλυσίδα SSL
Bulk SSL Checker SSL check σε πολλά domains ταυτόχρονα
Domain Monitor DNS & SSL monitoring με email alerts

Σχετικοί οδηγοί

Πώς να Ελέγξεις ένα SSL Πιστοποιητικό Τι Είναι το CSR — Δημιουργία για SSL Πιστοποιητικό Τι Είναι τα HTTP Security Headers και Πώς να τα Ρυθμίσεις
Όλοι οι οδηγοί