这几天证书过期这种草台班子，怎么没人从流量 sni 层面去做黑盒告警

在公司测试环境的出口网络设备上，给流量镜像下，大致下面

镜像出口流量（ SPAN / iptables TEE / eBPF / AF_PACKET ）
只看 TCP 443
不解密 TLS
解析 ClientHello 的 SNI 拿到“真实被使用的域名”
匹配自家域名（含通配符）
主动发 HTTPS 请求
读取证书 NotAfter
告警

即使某些公司存在一些冷门业务在跑，而该域名没记录到 cmdb 里，这样也能抓到

guanzhangzhang

1 月 7 日

@Ljcbaby 能被广大程序员看到的大厂草台班子新闻，这些厂不可能没有这种单独的测试网络环境

vfs

1 月 7 日

"匹配自家域名（含通配符）": 你自己的域名，你自己肯定知道。所以直接写一个定时任务，过一阵子把你的域名都挨个 https 请求一遍，检查证书 NotAfter ，告警就行了。前面步骤可以都省了

guanzhangzhang

1 月 7 日

@vfs 控制域名解析的资产归属和运维不一定是一个部门，特别大厂里分工太明细了，你看去年和今年，为啥年年有大厂证书过期

fionasit007

1 月 7 日

听说这次腾讯直接续签了 100 年，但是证书有效期不是一年嘛，就算他 100 年每年还是需要换的，或者说他们和证书机构直接有对接，可以搞不用替换的？

stinkytofux

1 月 7 日

@fionasit007 #7 可能是自有证书, 只用来跟游戏客户端通讯加密用的. 不需要浏览器信任.

salmon5

1 月 7 日

然后证书过期的锅就全是你的了，别人高高兴兴乱用证书，反正锅都是你的

guanzhangzhang

1 月 7 日

@salmon5 #10 又不是告诉公司，而是运维自己偷偷用，给自己兜底

salmon5

1 月 7 日

@guanzhangzhang #11 你这个方案太重了，并且 TLS 证书用的地方很多，文档签名、代码签名、mysql 、pgsql 、mongo 等等都会用到证书，你这所谓的小小的运维能管的过来吗？

guanzhangzhang

1 月 7 日

@salmon5 #12 1.首先，只是 https 的 sni ，又不是双向 ssl 和那些纯 tcp 的 ssl 服务，其次流量出口镜像下有啥难度和侵入性，我开发个 app 或者运行在 socks 代理也能实现一个透明代理层面监控，https://github.com/zhangguanzhang/appproxy

pckillers

1 月 7 日

楼主可能不知道 HTTP2 的一个 TCP 包里可能有多个域名的请求。更不要说 QUIC 这种走 UDP 的协议了。最后正式不一定是 https 的，很多私有协议也会有证书。

niubilewodev

1 月 7 日

上了这套系统。
10 年可能起不到一次作用。
只要 1 次没起作用，锅就归你背。
没人愿意上。

guanzhangzhang

1 月 7 日

@pckillers 逐一扩展，而且不是有 ebpf 项目能抓 https 的吗，我只是问为何没人从这方面去整下，作为备用手段

guanzhangzhang

1 月 7 日

@niubilewodev 是备用又不是完全靠这个，没有这个的情况下，为啥这么多大厂还出现这种草台事情

guanzhangzhang

1 月 7 日

@AkinoKaedeChan

我这是提出一个方向想法，万一有大佬做出一个牛逼的，测试环境上的 agent 和 server 部署监控，以及公司出口流量上网行为审计继承 https sni 层面监控，支持不同场景的不同模式，还有 dns 解析 mirror 啥的，设计抽象好支持更多扩展

jiangzm

1 月 7 日

你这是没事找事，还镜像网络设备流量这蠢蠢给自己埋雷。

作为运维/开发你只要监控自家服务端的 https 证书即可，使用客户端完全不需要管别人的 https 证书。

如果能收集自家的证书随便加个提醒即可，如果是其他部门管理那就定时监控 HTTPS 服务状态，比如用 uptime-kuma 同时监控服务状态和证书到期提醒。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/1183705

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.