Коллега написал мне сегодня:
“У нас тихо протух CA сертификат на VPN серверах.”
Тихо - потому что мониторинга не было.
Валиден был 10 лет. Никто не проверял.
Конечно, никто не заметил.
Вот где это больно: сертификаты на 10 лет ставят именно потому, что “не хочется думать об этом часто”. Логика понятна. Но результат - ты забываешь о нём полностью.
И когда он протухает - VPN падает. Тихо. Без предупреждений. Просто перестаёт работать.
Хорошо если в рабочее время. Хорошо если кто-то заметил быстро.
Что сделать прямо сейчас:
Проверь срок действия своих CA-сертификатов:
openssl x509 -in /path/to/ca.crt -noout -dates
Если до истечения меньше года - добавь алерт в мониторинг.
Если мониторинга нет - это и есть проблема.
Неочевидный момент: алертить надо не на “сертификат протух”, а на “до истечения осталось 90/60/30 дней”. К моменту протухания уже поздно планировать - ты уже тушишь пожар.
Prometheus, Zabbix, Datadog, даже простой cron со скриптом - не важно что. Важно что это есть.
Правило которое я применяю на аудитах:
Всё что “работает само” и настроено больше года назад - кандидат на проверку. Сертификаты. Бэкапы. Ротация логов. Cron-джобы.
“Работает” ≠ “работает правильно” ≠ “будет работать завтра”.
Делаю аудит IT-инфраструктуры.
Нахожу то, что протухло - до инцидента.