Ukryty problem z serwerami stagingowymi: Dlaczego odkrywanie certyfikatów musi być na liście DevOps

Pamiętasz, jak sprzątasz piwnicę i natykasz się na stare graty, o których zapomniałeś? Twoja infrastruktura ma podobny kłopot. Tylko zamiast gratów kryją się tu TLS certyfikaty, poddzminy i niezaktualizowane serwery.

Fenomen zapomnianych poddomen

Wyobraź sobie: deweloper stawia staging-v2.twojafirma.pl do testów nowej funkcji. Projekt ląduje w koszu. Poddzienna zostaje. Po dwóch latach działa tam stara wersja apki z dziurawymi bibliotekami i bez żadnego nadzoru.

Twój zespół security myśli, że pilnuje pięciu kluczowych punktów. A tak naprawdę macie ich siedemnaście.

Najgorsze? Każdy certyfikat dla tych poddomen trafia do publicznych logów. Jeśli nie szukasz ich aktywnie, latasz z zawiązanymi oczami.

Jak działają logi Certificate Transparency i czemu to ważne

Gdy CA wystawia SSL/TLS certyfikat, musi zapisać to w otwartych logach CT. To mechanizm bezpieczeństwa – blokuje podejrzane CA przed wydaniem fałszywki na twoją domenę bez twojej wiedzy.

Efekt? Cała historia twoich poddomen jest na widoku. Chcesz listę wszystkich, które kiedykolwiek miały certyfikat? Uruchom narzędzie do zapytań CT. Wynik w kilka sekund. Jeśli ty możesz, to potrafi każdy inny.

Problem trzech warstw odkrywania

Firmy gubią pełny obraz infrastruktury, bo dane rozproszone są w trzech miejscach:

1. Rekordy DNS
Pokazują, co teraz działa. Ale DNS-y się zmieniają. Stare wpisy kasują. api-stare.twojafirma.pl znika z DNS, ale wciąż wisi na EC2.

2. Aktywne serwery
To, co uważasz za uruchomione. Dashboardy prod to pokazują. Dokumentacja też. Ale staging? Testówki? Porzucone projekty? Te czają się w kącie konta AWS.

3. Logi certyfikatów
Prawdziwe źródło prawdy: każda poddzienna z kiedykolwiek ważnym certyfikatem. To twój ślad, czy patrzysz, czy nie.

Większość firm śledzi jedno lub dwa. Stąd ślepe plamy.

Konsekwencje dla portfela i bezpieczeństwa

Zapomniane serwery to lawina problemów:

Ryzyko bezpieczeństwa: Dziurawe apki bez patchy. Brak logów. Żadnych alarmów przy sondowaniu. Stają się otwartą furtką do sieci.

Bóle z compliance: SOC 2, ISO 27001, PCI-DSS – wszystkie żądają znajomości zakresu. Audytor poprosi o pełną listę systemów. Masz ją?

Marnotrawstwo kasy: Staging z 2022 wciąż kręci. Load balancer na nic? Rachunki lecą. Zapomniane zasoby ssą tysiące miesięcznie.

Opóźnienia w incydentach: Coś się sypie? Zespół traci godziny na szukanie systemów, które powinny być na oku od startu.

Jak zrobić audyt: Co sprawdzić krok po kroku

Solidny audyt certyfikatów to:

1. Zapytanie logów CT
Wyciągnij wszystkie poddzmiany z certyfikatami dla głównej domeny. Masz pełną historię.

2. Test uścisku TLS na żywo
Nie tylko logi. Sprawdź, co naprawdę działa. Dla każdej poddzmiany zrób świeży handshake i oceń:

• Cert pasuje do nazwy?
• Kto wydał i kiedy?
• Data wygaśnięcia?
• Self-signed czy z zaufanego CA?

3. Wykrywanie rozbieżności
Poddzmiana ma cert, ale nie w DNS? Czerwona flaga. Nieoczekiwany issuer? Wygaśnięty? To sierota.

Budowa trwałego zarządzania certyfikatami

Jednorazowy audyt to za mało. Potrzebujesz ciągłej uwagi:

Automatyzuj monitoring: Alarmy przed wygaśnięciem certów – zwłaszcza na zapomnianych maszynach. Błąd certu w prod mobilizuje jak nic.

Podłącz do inwentarza: Wrzuć wyniki odkrywania do CMDB. Zapomniane systemy na widoku dla wszystkich.

Opisz cel poddzmian: Znalazłeś w CT? Klasyfikuj: prod, staging, deprecated, partner? Kontekst chroni przed chaosem.

Planuj audyty: Miesięcznie lub kwartalnie. Porównuj skany, łap nowe wpisy lub zmiany bez zgody.

Wdroż najlepsze praktyki TLS: Użyj okazji na upgrade CA, OCSP stapling czy HTTP/2. Dwa w jednym.

Rzeczywistość DevOps

Prowadzisz infrastrukturę w skali – choćby kilkadziesiąt usług? Na bank masz coś zapomnianego. To ludzka sprawa. Porażką jest działać bez pełnego widoku.

Odkrywanie certyfikatów to nudna, ale kluczowa robota. Dojrzałe zespoły DevOps odróżnia od reaktywnych. Nie błyszczy na retro. Ale ratuje przed audytem czy breachem z zapomnianego stagina.

Startuj już dziś

Dobra wiadomość: Nie trzeba nowych narzędzi. Wystarczy nazwa domeny. Wskaż narzędzie na root domain, odpytuj CT logi – i patrz, co wypłynie.

Zdziwisz się. Większość tak ma.

Potem trudniejsza część: klasyfikacja, wygaszanie, procesy przeciw nowym ślepakom. To podnosi security na wyższy level.

Twój staging z 2022 wciąż tam jest. Czas go odnaleźć.