这几天证书过期这种草台班子，怎么没人从流量 sni 层面去做黑盒告警

@qwx 透明日志也不错，不过几个 G 的话 NTM 普通 x86 机器也能应付，或者做流镜像。个人感觉做好 PKI 管理与黑盒检测并不冲突，角色不同顾虑不同，对于权限和管理混乱的环境，黑盒检测确有一定帮助。

期待 HTTP/3 与 ECH 大规模运用，逐步架空上网审计设备（

@guanzhangzhang 你也说了是管理问题，如果按你这些措施下来，到最后一步，收告警的人不去处理，和我说的有区别吗

@guanzhangzhang 哦，我懂你意思了，其实这是个管理问题，不是技术问题。不如搞个各业务线证书自查流程，上报后统一入 CMDB ，遗漏的、出问题的让各业务线自己负责就行了。

最简单的，openssl 脚本触发钉钉接口，给全体管理人员发钉钉任务，每天早上八点群发短信，一星期未解决给公司全体成员群发邮件，到期未解决，全员连坐，当年绩效全部扣除

@guanzhangzhang #36 硬件，信创国密要求不能搞软件的

@guanzhangzhang #35 你这有点离题了，作为一个开发把家里的电脑做宿主机弄个单节点 k8s 做测试不是很正常吗，同时又有 docker 应用部署也很正常。不管用哪个工具能达到目的就好。

再过 3 年，证书最长有效期缩短至 47 天，不就没问题了。现在就是证书时间太长了没人管

没太搞懂你说的测试环境的出口网络设备是啥意思。如果我没理解错的话，是镜像出口流量，拿到真的有被用的域名，然后去发请求看域名过期没过期。

对于大厂，镜像流量的成本过高，机房也很分散，多地域多机房加这个有点复杂。实际的操作里，证书其实是公司级别的流量入口处，收敛起来统一管理和续期的，流量到了我们业务这里已经是解密后的 HTTP 流量了，证书过期前的预警和续期都是标准化的操作，点两下就完成了。

不过实际中还是会出现证书过期的情况，一些老业务，没有使用公司统一的域名，这种的证书还是业务自己管，就有可能忘了续期。

这种只能架构师搭建的时候考虑，后来人是极难推动任何跨多业务的改动
除了在一个追求完美架构的公司，否则只会吃力不讨好

@leehaoze98 思路和 38 楼那个差不多，那个应该是支持更多扩展

支持馆长。
我这个小工具，也是在尝试辅助解决这个场景的一些问题： https://github.com/opsre/cloud_dns_exporter

这个事情你自己就可以做啊
openssl 命令就可以解析证书，你配置一个域名名单，都不用每天跑。
存量跑一次记录下过期时间，后面就只要在过期时间之前半个月啥的再回访确认下就行。

名单需要逐步的维护好，可以先维护 主流程、强依赖的域名

苹果也干过这事，世界就事草台班子

echo | openssl s_client -connect baidu.com:443 2>/dev/null | openssl x509 -noout -dates

linux 上试试

我理解没有一个人或部门能管理所有“自家域名”。因为没法确定哪个域名还在用、新申请的域名是否提交给你进行监控。

不用那么麻烦，一个 blackbox_exporter 就能实现证书过期告警
但问题是现在很多团队没运维了，没人专门搞这些

我上家就有。tls 端口被监控系统主动探测。因为是做 saas 的，除了自己域名还有客户域名。每次客户域名快到期了我们还得去催客户提供新的证书

正规公司对于业务相关的域名 SNI 检测监控是有的，当然也有很多人为原因忽略了，运维的“锅”

推一波： https://cm.myssl.com

证书：我真的还想再活五百年