Как дебажить certificate error в production?

openssl s_client -connect HOST:443 -showcerts для просмотра цепочки. curl -v https://HOST для деталей. Частые проблемы: истёкший сертификат (check Not After), неполная chain (intermediate не приложен), mismatch hostname, самоподписанный сертификат в production. В k8s: kubectl describe certificate (cert-manager), kubectl get challenges для ACME. Превентивно: мониторинг expiry через Prometheus ssl_certificate_expiry_seconds, алерт за 30 дней до истечения. cert-manager автоматически обновляет за 30 дней до expiry.