<div dir="ltr">I'd say if someone changed something and didn't check a particular name, that having Xymon check a matching name would be very beneficial.<div><br></div><div>In simple terms, check <a href="https://foo.bar.com">https://foo.bar.com</a> - if that would work on the average user's browser, than be green.  If not, change the status.</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><br></div>Josh Luthman<br>Office: 937-552-2340<br>Direct: 937-552-2343<br>1100 Wayne St<br>Suite 1337<br>Troy, OH 45373</div></div></div>
<br><div class="gmail_quote">On Tue, Nov 10, 2015 at 4:10 PM, Henrik Størner <span dir="ltr"><<a href="mailto:henrik@hswn.dk" target="_blank">henrik@hswn.dk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
Den 10-11-2015 kl. 15:27 skrev Mark Felder:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
[...] We're simply asking<span class=""><br>
Xymon to be able to differentiate between a certificate with a valid<br>
chain of trust and one that is broken or self-signed.<br>
</span></blockquote>
<br>
You are correct that Xymon only checks the expiry-date of the certificate. This is - more or less - by design, since that is the most common problem with certificates: Your site works fine on Monday, and on Tuesday everything is down because the certificate has expired.<br>
<br>
If your certificate is broken in the sense that the Common Name (ie the website name for which the certificate was issued) does not match your site, then *all* users will see that - so you figure it out pretty fast, usually before going live.<br>
<br>
And name checking is not as simple as it seems. Lots of devices have self-signed certificates with meaningless names - tons of networking gear, application server admin consoles, intermediate proxy devices and so on. All of them can use self-signed certificates, or certificates issued by your own (company) CA. Xymon cannot validate them, because technically they are not trusted - you just want the TLS encryption to work, so you must live with the certificate.<br>
<br>
<br>
Regards,<br>
Henrik<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
Xymon mailing list<br>
<a href="mailto:Xymon@xymon.com" target="_blank">Xymon@xymon.com</a><br>
<a href="http://lists.xymon.com/mailman/listinfo/xymon" rel="noreferrer" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
</div></div></blockquote></div><br></div>