这几天证书过期这种草台班子，怎么没人从流量 sni 层面去做黑盒告警

在公司测试环境的出口网络设备上，给流量镜像下，大致下面

镜像出口流量（ SPAN / iptables TEE / eBPF / AF_PACKET ）
只看 TCP 443
不解密 TLS
解析 ClientHello 的 SNI 拿到“真实被使用的域名”
匹配自家域名（含通配符）
主动发 HTTPS 请求
读取证书 NotAfter
告警

即使某些公司存在一些冷门业务在跑，而该域名没记录到 cmdb 里，这样也能抓到

jiangzm

1 月 7 日

@guanzhangzhang #17 google 都出过域名到期没续费的情况，别动不动就到处给人家扣什么草台班子的帽子。先问下你自己是不是菜鸡。

sampeng

1 月 7 日

@ajaxfunction 是啊。。。问题是你以为 10 年这个数字怎么来的。。因为他 10 年前已经发生过一次。。。

1 月 7 日

我们这边就一个域名，然后是 1 年的证书。每年证书到期前的运维部门会提前发全体 IT 的邮件通知。过期前一个月的每个周一都会发，一直发到旧证书过期的那一周。
如果过期了都还没发现说明用的人少就不用管了 😂

sagnitude

1 月 7 日

一个 openssl 脚本就能干的事情，搞这么复杂，指定几个监听 URL ，crontab 一下，发现不对直接给管理层群发邮件和短信，给负责人发短信钉钉消息，最高优先级，结束

chunjilikafa1456

1 月 7 日

我们这专门成立了一个 ssl 卸载层的平台，不负责管理证书，但会提醒证书有效期

Rickkkkkkk

1 月 7 日

最有可能的情况下，这个证书是 LOL 公司还很小的时候就有的，流程啥的都没有。然后最开始就是申请到现在过期。

guanzhangzhang

1 月 7 日

@sagnitude 你的意思是之前苹果音乐，谷歌，LOL ，罗技都写不了 openssl 脚本吗，你说的脚本场景是知道有哪些证书的前提下，但是大多数工作中处于交接导致遗漏逃逸，所以需要思路是从黑盒层面作为兜底避免

guanzhangzhang

1 月 7 日

@Rickkkkkkk 所以就是需要黑盒层面用技术手段兜底，毕竟很多都是交接情况埋了很多坑

guanzhangzhang

1 月 7 日

@94 这种统一管理基本不会发生这种场景的，但是比如 LOL 那种陈年和多次交接的就不一定具备这种统一管理条件了

Rickkkkkkk

1 月 7 日

@guanzhangzhang 就没做呗。这个东西可能十年前就存在的，最早负责这块的人也早就离职了。然后一直能跑也不会有人去关心。

guanzhangzhang

1 月 7 日

@usn 看要做到那种地步了，自己偷偷用作为兜底手段可以快速 ai 整一个工具出来

guanzhangzhang

1 月 7 日

@jiangzm #20 按照你的说法，我看了你的贴子，你用 containerd 还单节点 k8s ，不是蠢蠢给自己找事，既要 docker 的便利性又被 containerd 的 nerdctr 和 ctr 折磨，为啥不用 cri-dockerd

COW

1 月 7 日

不懂，证书管理不是通过 cert-manager 、pki 自动化弄吗，自动续期失败了就自动告警呗，跟 SNI 有什么关系。。。SNI 只会找域名，有些证书还是纯 IP 的呢。

DHCPv6

1 月 7 日

Panabit NTM 免费版是有类似功能，旁路嗅探证书并推送过期消息，只是不太想用他们的产品，记得是网卡 Polling 模式用户态处理。

guanzhangzhang

1 月 7 日

@COW 你这是 k8s 层面考虑，我意思是看每年证书过期的曝出来在程序员群里流传的，基本都是 web 的 https 证书过期。
从终端到访问 web 中间链路上做黑盒检测，相信大厂内部的上网审计设备流量 mirror 扩展或者自己纯软件层面开发 agent 在内部测试环境做 hook 。你看 27 楼和 38 楼他们说的

qwx

1 月 7 日

对于私自签的证书，自己应该管理严格，对于公开证书，我觉得可以去证书透明日志里做监控，接流量+探测太重了，当你知道你管理的出入口有好几个 G 流量的时候，你就知道监控要多少的算力了。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://study.congcong.us/t/1183705

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.