Skrytý problém se staging servery: Proč by měl být objev certifikátů v DevOps checklište

Představte si, že uklízíte starou skřín a najednou vyplave tričko, na které jste zapomněli. Vaše infrastruktura má podobný problém. Jenže tady jde o TLS certifikáty, subdomény a možná i neaktualizované servery.

Jak vznikají zapomenuté subdomény

Typický případ: Vývojář si nastaví staging-v2.firmy.cz na testování funkce. Projekt padne. Subdoména zůstane. Po dvou letech běží stará verze appky s dávno zastaralými závislostmi. A bez jakéhokoli monitoringu.

Bezpečnostní tým si myslí, že hlídá pět klíčových endpointů. Ve skutečnosti jich je sedmnáct.

Největší sranda? Každý certifikát pro ty subdomény je veřejně zalogovaný. Pokud po nich nepaříte, jdete napořád naslepo.

Jak fungují CT logy a proč jsou důležité

Každý pořádný certifikační autorita musí po vydání SSL/TLS certifikátu logovat údaje do veřejných Certificate Transparency (CT) logů. To je bezpečnostní vychytávka – brání to podvodným CA vydávat falešné certy na vaše domény bez vámi vědomí.

Ale zároveň to znamená, že historie všech vašich subdomén je veřejně prohledatelná.

Chcete vědět, pro které subdomény kdy byly vydány certy? Spusťte query na CT log. Výsledek máte během vteřin. A proto je to tak akutní – pokud to zvládnete vy, zvládne to i někdo jiný.

Tři místa, kde se ztrácí přehled

Většina firem nemá kompletní evidence infrastruktury. Informace jsou rozházené na třech místech:

1. DNS záznamy
Ukazují, co právě běží. Ale DNS se mění. Staré záznamy se mažou. Můžete mít api-stary.firmy.cz pryč z DNS, ale stále nakonfigurovaný na EC2 instanci.

2. Aktivní služby
To, co si myslíte, že běží. Dashboards to ukazují, docs to mají. Ale stagingy? Testovací boxy? Odložené projekty? Ty se schovají v koutku AWS účtu.

3. CT logy
Absolutní pravda: Každá subdoména, co kdy měla platný cert. To je váš audit trail, ať se díváte nebo ne.

Většina firem sleduje jen jedno nebo dvě. A tam se rodí slepé skvrny.

Proč to bolí v peněžence

Zapomenuté servery způsobují řetězovou reakci problémů:

Bezpečnostní riziko: Neaktualizované appky bez monitoringu. Žádné logy, žádné alerty. Stane se to zadním vchodem do sítě.

Problémy s compliance: SOC 2, ISO 27001, PCI-DSS – všechny chtějí vědět, co máte v rozsahu. Auditor se zeptá na kompletní seznam systémů. Máte ho?

Zbytečné náklady: Ten staging z 2022 pořád jede. Load balancer na nic? Pořád účtuje. Za čas to vyjde na tisíce měsíčně.

Komplikace při incidentech: Když se něco pokazí, tým tráví čas hledáním systémů, co měly být na radaru od začátku.

Jak provést pořádný audit

Tady je, co by měl audit certifikátů zahrnovat:

1. Query CT logů
Vytáhněte všechny subdomény, co kdy dostaly cert pro vaši root doménu. To je kompletní historie.

2. Test živého TLS handshake
Nenechte se zlákat starýma logama. Ověřte, co reálně běží. Pro každou subdoménu proveďte TLS handshake a zkontrolujte:

• Sedí cert s hostname?
• Kdo ho vydal a kdy?
• Kdy expiruje?
• Je self-signed nebo z důvěryhodné CA?

3. Hledání nesrovnalostí
Subdoména s certem, ale bez DNS záznamu? Červená vlajka. Nečekaný issuer nebo expirovaný cert? Signál, že je to osiřelé.

Jak si nastavit dlouhodobou správu certifikátů

Jednorázový audit nestačí. Potřebujete systém:

Automatizujte monitoring: Nastavte alerty na blížící expirace – hlavně na ty zapomenuté. Nic tak neprobudí jako cert error v produkci.

Propojte s inventářem: Spojte výsledky objevů s CMDB nebo asset manažerem. Zapomenuté věci uvidí všichni.

Dokumentujte účel: Každou subdoménu z CT logů okamžitě označte: produkce? Staging? Vyřazené? Partnerovo? Žádná budoucí zmatená hlava.

Plánujte pravidelné audity: Měsíčně nebo čtvrtletně. Porovnejte s předchozími skeny – uvidíte novinky nebo neoprávněné změny.

Zlepšete TLS: Využijte audit na upgrade slabých CA, OCSP stapling nebo HTTP/2. Dva body jedním úderem.

Realita DevOpsu

Pokud řídíte infrastrukturu ve větším – třeba desítky služeb – určitě máte něco zapomenuté. To je lidské. Selhání je nebrat to na vědomí a pokračovat bez přehledu.

Objev certifikátů je ta nudná, ale klíčová práce, co dělí profi DevOps týmy od těch reaktivních. Není to sexy, neoporučí se na sprintu. Ale když auditor chce inventář nebo staging server prorazí breach, tohle rozhodne.

Jak začít hned

Dobrá zpráva: Nepotřebujete nové nástroje ani přístup. Stačí doménové jméno. Namířte tool na root doménu, query CT logy a sledujte, co vyplave.

Překvapí vás to. Většinu týmů ano.

Pak přijde ta těžší část: Klasifikace, vyřazení a procesy proti novým slepým skvrnám. To je to, co opravdu zvedne bezpečnost.

Vaše staging z 2022 pořád někde běží. Možná je čas ho najít.