Het verborgen probleem van staging-servers: Waarom certificate discovery op je DevOps-lijst moet

Stel je voor: je ruimt de zolder op en vindt spullen die je jaren geleden bent vergeten. Je infrastructuur kampt met hetzelfde euvel. Alleen zijn het hier TLS-certificaten, subdomains en mogelijk onbeveiligde servers die onopgemerkt blijven.

De spoken in je DNS

Een developer richt staging-v3.jouwbedrijf.nl op voor een test. Het project sneuvelt. De subdomain blijft hangen. Jaren later draait-ie nog een verouderde app zonder updates of bewaking.

Je security-team telt vijf belangrijke domeinen. In werkelijkheid zijn het er twintig. En het ergste? Alle certificaten voor die subdomains staan openbaar in de logboeken. Zonder jacht erop, mis je de helft.

Zo werken Certificate Transparency Logs (en waarom ze cruciaal zijn)

Elke serieuze certificate authority logt SSL/TLS-certificaten in openbare CT-logs. Dat is geen toeval: het blokkeert malafide CAs die stiekem certs voor jouw domeinen uitgeven.

Tegelijkertijd leg je zo je hele subdomain-geschiedenis bloot. Met een simpele query-tool haal je alles naar boven. Secondenwerk. En als jij het kunt, kan een aanvaller het ook.

Drie bronnen, één groot gat

Bedrijven houden zelden grip op hun volledige infrastructuur. Info verspreidt zich over drie plekken:

1. DNS-records
Wat nu live wijst. Maar DNS wijzigt constant. Oude entries verdwijnen, terwijl servers blijven draaien op een EC2-instance.

2. Actieve services
Wat jij denkt dat runt. Dashboards en docs kloppen voor productie. Maar test-omgevingen en vergeten projecten? Die verstopt in je AWS-account.

3. Certificate logs
De keiharde waarheid: elk domein met een ooit-geldig cert. Dit is je onfeilbare spoorboekje.

Meestal check je er één of twee. Daar ontstaan de lekken.

Waarom dit je portemonnee raakt

Vergeten servers leiden tot ellende op meerdere fronten:

Veiligheidsrisico: Ongepatchte apps zonder logs of alerts. Een ideale instap voor hackers.

Compliance-drama: SOC 2 of PCI-DSS eisen volledige overzichten. Sta je met lege handen bij de auditor?

Kostenlek: Die staging uit 2022 kost nog steeds geld. Lege load balancers tikken door. Maandelijks honderden verspild.

Traag incidentbeheer: Bij een breach zoek je blind naar onbekende systemen.

Hoe pak je een audit aan?

Dit hoort in je checklist:

1. CT-log doorzoeken
Zuig alle subdomains voor je hoofddomein uit de logs. Volledige historie in één klap.

2. Live TLS-check
Test niet alleen logs, maar wat écht draait. Per subdomain: handshake, cert-match, issuer, expiratie en of het trusted is.

3. Afwijkingen opsporen
Geen DNS-entry maar wél cert? Verdacht issuer of verlopen? Dat schreeuwt om actie – orphaned assets.

Duurzaam certificate-beheer opzetten

Een eenmalige scan is prima, maar blijf alert:

Automatiseer monitoring: Alerts bij naderende expiratie, ook op vergeten plekken. Niets motiveert als een prod-error.

Koppel aan inventaris: Voed je CMDB met CT-data. Maak alles zichtbaar.

Label subdomains: Prod, staging, partner of defunct? Context voorkomt chaos.

Plan vaste audits: Maandelijks of per kwartaal. Vergelijk scans op nieuwigheden.

Verbeter TLS: Gebruik scans om zwakke CAs te dumpen, OCSP in te schakelen of HTTP/2 af te dwingen.

De DevOps-wakker schudden

Bij schaal – zelfs tientallen services – heb je altijd iets over het hoofd gezien. Menselijk. Falen is negeren.

Certificate discovery is saai maar essentieel. Geen sprint-highlight, wel je redding bij audits of breaches.

Nu beginnen

Geen fancy tools nodig. Alleen je domeinnaam. Query CT-logs en zie wat opduikt.

Verwacht verrassingen. Dan classificeren, afbouwen en processen vastleggen. Zo boost je je security echt.

Die oude staging-server draait nog. Tijd om te jagen.