Problema serverelor uitate: De ce descoperirea certificatelor TLS trebuie să fie pe lista ta DevOps

Ai curățat vreodată un dulap și ai găsit haine pe care le uitaseși? Infrastructura ta face la fel. Doar că „hainele” sunt certificate TLS, subdomenii și servere nepătrunse.

Fenomenul subdomeniilor fantomă

Un developer creează staging-v2.compania-ta.com pentru un test. Proiectul pică. Subdomeniul rămâne. După doi ani, rulează o versiune veche, cu dependențe învechite și fără monitorizare.

Echipa de securitate crede că are de gestionat cinci puncte cheie. Realitatea? Șaptesprezece.

Și surpriza: toate certificatele emise pentru subdomenii sunt publice în logurile CT. Dacă nu le cauți, ești în ceață.

Cum funcționează logurile Certificate Transparency (și de ce contează)

Orice autoritate de certificat validează TLS-ul într-un log public CT. E o măsură de securitate – blochează certificate false emise în secret pentru domeniile tale.

Dar înseamnă și că istoricul subdomeniilor tale e la vedere pentru toți.

Vrei lista completă a subdomeniilor cu certificate? Un tool CT îți dă totul în secunde. Dacă tu poți, o pot și alții. De aici vine urgența.

Cele trei surse de informații dispersate

Puține echipe au inventar complet. Datele stau în trei locuri separate:

1. Înregistrări DNS
Ce e activ acum. Dar DNS-ul se schimbă. Un api-vechi.compania-ta.com dispare din DNS, dar rămâne configurat pe un server EC2.

2. Servicii active
Ce crezi că rulează. Dashboard-urile production arată clar. Dar mediile de test? Serverele abandonate? Ascunse în contul AWS.

3. Loguri de certificate
Adevărata sursă: fiecare subdomeniu care a avut vreodată certificat valid. Auditul tău involuntar.

Majoritatea verifică doar una-două. Aici apar găurile.

Impactul asupra afacerii tale

Servere uitate înseamnă probleme în lanț:

Risc de securitate: Aplicații nepătrunse, fără loguri sau alerte. Ușă deschisă în rețea.

Probleme de conformitate: SOC 2, ISO 27001, PCI-DSS cer inventar total. Auditorul te întreabă – ai lista completă?

Cheltuieli inutile: Staging-ul din 2022 consumă resurse. Load balancer-e goale taxează lunar mii de lei.

Întârzieri la incidente: Echipa pierde timp căutând sisteme uitate.

Cum faci un audit corect

Verifică asta pas cu pas:

1. Interogare CT logs
Extrage toate subdomeniile cu certificate pentru domeniul tău principal. Inventar istoric complet.

2. Test TLS live
Nu te opri la loguri vechi. Verifică ce rulează acum: handshake TLS pe fiecare subdomeniu. Certificatele se potrivesc? Cine le-a emis? Când expiră? Self-signed sau CA de încredere?

3. Detectează anomalii
Subdomeniu cu certificat, dar fără DNS? Emițător ciudat sau expirat? Semne de orfani.

Cum construiești un proces sustenabil

Audit unic nu ajunge. Ai nevoie de rutină:

Automatizează monitorizarea: Alerte la expirări – mai ales pe sisteme uitate. Eroarea de certificat forțează acțiune.

Integrează în inventar: Leagă descoperirile CT de CMDB-ul tău. Vizibil pentru toți.

Documentează scopul: Clasifică subdomeniul – production, staging, depășit? Evită confuzii viitoare.

Audite periodice: Lunar sau trimestrial. Compară cu scanările anterioare pentru noutăți sau schimbări neașteptate.

Îmbunătățește TLS: Upgrade la CA buni, OCSP stapling, HTTP/2. Rezolvă mai multe odată.

Realitatea DevOps

La scară, cu zeci de servicii, ai uitat ceva. E normal. Greșeala e să ignori lipsa inventarului complet.

Descoperirea certificatelor e muncă plictisitoare, dar esențială. Nu face titluri în retrospective. Dar salvează de breșe sau auditori furioși.

Începe acum

Nu ai nevoie de tool-uri scumpe. Doar un domain. Un query CT logs – și vezi ce iese.

Te vei mira. Ca majoritatea.

Apoi: clasifică, închide ce trebuie, construiește procese. Asta ridică securitatea reală.

Staging-ul tău din 2022 așteaptă. Caută-l.