V2EX-最热主题这几天证书过期这种草台班子，怎么没人从流量 sni 层面去做黑盒告警guanzhangzhang:在公司测试环境的出口网络设备上，给流量镜像下，大致下面● 镜像出口流量（ SPAN / iptables TEE / eBPF / AF_PACKET ）● 只看 TCP 443● 不解密 TLS● 解析 ClientHello 的 SNI 拿到“真实被使用的域名”● 匹配自家域名（含通配符）● 主动发 HTTPS 请求● 读取证书 NotAfter● 告警即使某些公司存在一些冷门业务在跑，而该域名没记录到 cmdb 里，这样也能抓到source(author: guanzhangzhang)

V2EX-最热主题
这几天证书过期这种草台班子，怎么没人从流量 sni 层面去做黑盒告警

guanzhangzhang:

在公司测试环境的出口网络设备上，给流量镜像下，大致下面

● 镜像出口流量（ SPAN / iptables TEE / eBPF / AF_PACKET ）
● 只看 TCP 443
● 不解密 TLS
● 解析 ClientHello 的 SNI 拿到“真实被使用的域名”
● 匹配自家域名（含通配符）
● 主动发 HTTPS 请求
● 读取证书 NotAfter
● 告警

即使某些公司存在一些冷门业务在跑，而该域名没记录到 cmdb 里，这样也能抓到

source
(author: guanzhangzhang)