Como você acompanha registros de domínios / certificados ao longo do tempo?

3

De vez em quando, vejo histórias sobre um site sendo invadido, mas acontece que o registro do domínio acabou de expirar e alguém pegou o domínio e redirecionou o DNS. Eu também visitei sites com certificados SSL inválidos que expiraram.

Então ... a pergunta é: como você acompanha esses registros (que podem ser pagos por anos de cada vez?) para que eles possam ser renovados em tempo hábil? A maioria dos registradores enviará lembretes por e-mail quando o horário de renovação estiver chegando, mas isso não ajuda se eles forem enviados a um administrador que deixou a empresa há um ano.

Apenas curioso ...

    
por Sean Earp 30.07.2009 / 02:55

5 respostas

3

Criar uma lista personalizada do SharePoint é impressionante.

Além disso, você não deve ter seus e-mails de fornecedores automatizados chegando a uma pessoa em particular. Configure uma lista de distribuição de grupos (por exemplo, [email protected]), para que as pessoas possam entrar e sair do grupo à medida que forem embarcadas sem afetar esse serviço.

    
por 30.07.2009 / 03:27
1

Temos apenas uma planilha simples com datas de vencimento do Domínio e datas de expiração do SSL Cert, se esse domínio usar SSL. É claro que temos apenas 5 nomes de domínios e duvido que essa abordagem seja dimensionada para 100

Além disso, definimos todos os e-mails de contato para nosso grupo principal de distribuição do administrador, e não para pessoas individuais, portanto, não importa quem seja o administrador no momento em que receber os e-mails.

    
por 30.07.2009 / 03:02
1

Contamos com e-mails de lembrete do fornecedor ou um calendário compartilhado enviado para DLs, mas vários grupos dentro da organização (milhares de pessoas de TI) podem lidar com isso de maneira diferente.

Se eu fosse responsável por ele, obteria as certs em um único contrato e teria uma faixa pessoal do tipo clerical quando eles expirariam e lidaria com o pedido para impedir que as pessoas usassem o "Fornecedor X" porque tenho uma chave USB livre deles. É realmente algo que não deveria ser uma função de TI IMO.

    
por 30.07.2009 / 03:07
1

Não é muito difícil verificar as datas de expiração do script.

Para domínios, você pode facilmente interagir com a linha de comando whois, mas uma biblioteca whois para uma linguagem de programação provavelmente tornará isso um pouco mais fácil devido à diferença em que os registradores da região retornam.

Para certficates, o openssl cli pode ser usado com seus modos s_client e x509 para recuperar e decodificar um certificado, assim você pode fazer isso no shell se não quiser usar uma linguagem de programação apropriada com ligações OpenSSL.

Sempre que você configurar um novo domínio ou site SSL, adicione-o à lista que esses scripts verificam. Em seguida, execute-a semanalmente / mensalmente, conforme necessário, e envie alertas para um e-mail atual quando descobrir que algo vai expirar no próximo trimestre.

Agora, se seus domínios estiverem bloqueados no registrador para o endereço de e-mail que você não controla mais, você tem outro problema, mas pelo menos ele tem um aviso prévio em vez de um que você precisa resolver depois que o domínio expirou sem você perceber.

    
por 30.07.2009 / 09:38
0

Você já tem muitas sugestões, escolha a que melhor atenda às suas necessidades. Na minha opinião, o mais importante é que uma pessoa seja responsável por ela e alguém, ou um pequeno grupo, responsável por garantir que ela seja feita. Se você distribuir a responsabilidade primária entre um grupo, você invariavelmente descobrirá que todos assumiram que alguém o fez e que, no final, possivelmente ninguém o fez.

    
por 30.07.2009 / 07:55