Francuski Chorus Pro (platforma B2G) działa jako państwowy portal i z przeprowadzonych testów nie wynika, aby cały ruch użytkowników musiał przechodzić przez zagraniczną bramkę CDN/WAF.
Francja – Chorus Pro (B2G)
Audyt techniczny warstwy brzegowej i jurysdykcji
1. Kroki techniczne (PowerShell Windows: komenda → wynik)
Krok 1. DNS – CNAME
Sprawdzenie, czy host Chorus Pro jest aliasem do zewnętrznej infrastruktury CDN/WAF.
Resolve-DnsName chorus-pro.gouv.fr -Type CNAME
Wynik:
chorus-pro.gouv.fr SOA a.ns.developpement-durable.gouv.fr gestiondns.equipement.gouv.fr
Brak rekordu CNAME. Zwracany jest rekord SOA domeny rządowej.
Krok 2. DNS – rekord A
Ustalenie, gdzie faktycznie trafia ruch sieciowy.
Resolve-DnsName chorus-pro.gouv.fr -Type A
Wynik:
chorus-pro.gouv.fr A 185.24.185.61
Krok 3. Reverse DNS (PTR)
nslookup 185.24.185.61
Wynik:
Non-existent domain
Krok 4. HTTP HEAD – nagłówki odpowiedzi
Invoke-WebRequest -Uri https://chorus-pro.gouv.fr -Method Head
Wynik (istotne elementy):
HTTP/1.1 200 OK
Set-Cookie: BIGipServerpool_aifeprod=...; httponly; secure; samesite=None
Set-Cookie: JSESSIONID=...; HttpOnly; Secure; SameSite=None
Obecność ciasteczka BIGipServer... jest charakterystyczna dla load-balancera F5 (BIG-IP). W nagłówkach brak fingerprintów globalnych CDN/WAF (Cloudflare, Akamai, Imperva).
Krok 5. TLS – certyfikat (terminacja połączenia)
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
$tcp = New-Object Net.Sockets.TcpClient("chorus-pro.gouv.fr",443)
$ssl = New-Object Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("chorus-pro.gouv.fr")
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
$cert.Subject
$cert.Issuer
Wynik:
SUBJECT: CN=cpro.chorus-pro.gouv.fr, O=AIFE, L=Noisy-le-Grand, S=Seine-Saint-Denis, C=FR
ISSUER: CN=GlobalSign RSA OV SSL CA 2018, O=GlobalSign nv-sa, C=BE
Certyfikat jest wystawiony na AIFE (francuska administracja) i nie zdradza terminacji przez globalny CDN.
2. Zestawienie wyników (techniczne)
| Element | Francja |
|---|---|
| System | Chorus Pro (B2G) |
| Model | B2G przez platformę państwową (dla B2B planowany/realizowany model hybrydowy z PDP) |
| Audytowany host | chorus-pro.gouv.fr |
| Bramka WAF / Edge | Brak wykrywalnej zewnętrznej bramki CDN/WAF |
| Load balancer | F5 BIG-IP (fingerprint: BIGipServer...) |
| Własność infrastruktury | AIFE (administracja francuska) |
| Jurysdykcja prawna | Francja / UE |
| Czy ruch przechodzi przez podmiot zagraniczny | NIE |
3. Wnioski opisowe (językiem dla laika)
Francuski Chorus Pro (platforma B2G) działa jako państwowy portal i z przeprowadzonych testów nie wynika, aby cały ruch użytkowników musiał przechodzić przez zagraniczną bramkę CDN/WAF.
Na poziomie DNS nie ma aliasowania do zewnętrznych domen typu cloudflare.net, akamaiedge.net czy impervadns.net. Na poziomie HTTP widać natomiast typowy fingerprint load-balancera F5 (ciasteczko BIGipServer...), co sugeruje klasyczną infrastrukturę równoważenia ruchu po stronie operatora systemu.
Certyfikat TLS jest wystawiony na AIFE (francuska administracja), przez europejską jednostkę certyfikującą (GlobalSign). W konsekwencji nie wykazano, aby warstwa brzegowa Chorus Pro znajdowała się w jurysdykcji pozaunijnej.
Uwaga: to dotyczy platformy B2G (Chorus Pro). Francuski model e-fakturowania B2B jest hybrydowy (platforma centralna + certyfikowani operatorzy PDP), więc osobny audyt wymagałby sprawdzenia konkretnych hostów wybranych PDP.