这几天证书过期这种草台班子,怎么没人从流量 sni 层面去做黑盒告警
guanzhangzhang
·
2026-01-07
·
via V2EX
在公司测试环境的出口网络设备上,给流量镜像下,大致下面
- 镜像出口流量( SPAN / iptables TEE / eBPF / AF_PACKET )
- 只看 TCP 443
- 不解密 TLS
- 解析 ClientHello 的 SNI 拿到“真实被使用的域名”
- 匹配自家域名(含通配符)
- 主动发 HTTPS 请求
- 读取证书 NotAfter
- 告警
即使某些公司存在一些冷门业务在跑,而该域名没记录到 cmdb 里,这样也能抓到
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。