这几天证书过期这种草台班子,怎么没人从流量 sni 层面去做黑盒告警
在公司测试环境的出口网络设备上,给流量镜像下,大致下面
- 镜像出口流量( SPAN / iptables TEE / eBPF / AF_PACKET )
- 只看 TCP 443
- 不解密 TLS
- 解析 ClientHello 的 SNI 拿到“真实被使用的域名”
- 匹配自家域名(含通配符)
- 主动发 HTTPS 请求
- 读取证书 NotAfter
- 告警
即使某些公司存在一些冷门业务在跑,而该域名没记录到 cmdb 里,这样也能抓到
xiaohack博客专注前沿科技动态与实用技术干货分享,涵盖 AI 代理、大模型应用、编程工具、文档解析、SEO 实战、自动化部署等内容,提供开源项目教程、科技资讯日报、工具使用指南,助力开发者、AI 爱好者获取前沿技术与实战经验。
在公司测试环境的出口网络设备上,给流量镜像下,大致下面
即使某些公司存在一些冷门业务在跑,而该域名没记录到 cmdb 里,这样也能抓到
核心不是如何检测如何提醒,很多是:其实快要过期的提醒邮件提醒短信都发给对应负责人了,结果全都没注意到(比如告警消息过多,证书的那条提醒被淹没了),或者注意到了,想着忙完手头的事情就处理,结果就忘了。