首页 注册 登录
GoForum🌐 V2EX

这几天证书过期这种草台班子,怎么没人从流量 sni 层面去做黑盒告警

guanzhangzhang · 2026-01-07 11:33 · 0 次点赞 · 5 条回复

在公司测试环境的出口网络设备上,给流量镜像下,大致下面

  • 镜像出口流量( SPAN / iptables TEE / eBPF / AF_PACKET )
  • 只看 TCP 443
  • 不解密 TLS
  • 解析 ClientHello 的 SNI 拿到“真实被使用的域名”
  • 匹配自家域名(含通配符)
  • 主动发 HTTPS 请求
  • 读取证书 NotAfter
  • 告警

即使某些公司存在一些冷门业务在跑,而该域名没记录到 cmdb 里,这样也能抓到

5 条回复
Ljcbaby · 2026-01-07 11:33
#1

不是所有业务都在自有机房吧

1145148964 · 2026-01-07 11:38
#2

擦屁股的话,没有大的收益。

guanzhangzhang · 2026-01-07 11:43
#3

@Ljcbaby 能被广大程序员看到的大厂草台班子新闻,这些厂不可能没有这种单独的测试网络环境 https://i.imgur.com/agAJ0Rd.png

vfs · 2026-01-07 11:48
#4

“匹配自家域名(含通配符)”: 你自己的域名,你自己肯定知道。 所以直接写一个定时任务,过一阵子把你的域名都挨个 https 请求一遍, 检查证书 NotAfter , 告警就行了。 前面步骤可以都省了

guanzhangzhang · 2026-01-07 11:48
#5

@vfs 控制域名解析的资产归属和运维不一定是一个部门,特别大厂里分工太明细了,你看去年和今年,为啥年年有大厂证书过期

添加回复
你还需要 登录 后发表回复

登录后可发帖和回复

登录 注册
主题信息
作者: guanzhangzhang
发布: 2026-01-07
点赞: 0
回复: 0