Informacje Lokalne

ZdrowiePOLSKALOKALNESWIATHYDEPARK

Audyt techniczny. Argentyna

Opublikowano: 16.02.2026 | Autor: Grzegorz GPS Świderski | Ostatnia aktualizacja: 16.02.2026 22:29

Warstwa brzegowa systemu e-faktury (WSFEv1) – produkcja i homologacja

Cel audytu

Celem jest ustalenie, czy integracyjne endpointy e-faktury w Argentynie:

  • korzystają z globalnego WAF/CDN-as-a-Service (reverse-proxy w data-plane),
  • delegują DNS do vendorów,
  • ujawniają fingerprinty pośredników (edge/WAF),
  • czy działają w modelu suwerennej infrastruktury państwowej.

Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badane hosty:

servicios1.afip.gov.ar   (produkcja)
wswhomo.afip.gov.ar      (homologacja/test)

1. DNS – rekordy A / AAAA / CNAME + NS/SOA

Komenda

$hosts = @(
  "servicios1.afip.gov.ar",
  "wswhomo.afip.gov.ar"
)

foreach($h in $hosts){
  foreach($t in "A","AAAA","CNAME"){
    Resolve-DnsName $h -Type $t
  }
  Resolve-DnsName "afip.gov.ar" -Type NS
  Resolve-DnsName "afip.gov.ar" -Type SOA
}

Wynik

servicios1.afip.gov.ar

  • A: 200.1.116.53
  • AAAA: brak
  • CNAME: brak

wswhomo.afip.gov.ar

  • A: 200.1.116.57
  • AAAA: brak
  • CNAME: brak

Strefa afip.gov.ar:

  • NS: ns1.afip.gov.ar, ns2.afip.gov.ar, ns1s.afip.gov.ar, ns2s.afip.gov.ar
  • SOA: ns1.afip.gov.ar, admin deinco.afip.gov.ar

Interpretacja

W obu przypadkach:

  • brak CNAME do vendorów typu Cloudflare/Akamai/Imperva/Fastly/AzureFD,
  • bezpośrednie rekordy A,
  • własne serwery DNS w domenie afip.gov.ar.

To jest klasyczny wzorzec państwowy control-plane i brak vendor-edge już na poziomie DNS.

Wniosek cząstkowy

DNS: infrastruktura państwowa, bez delegacji do globalnego CDN/WAF-as-a-Service.

2. HTTP – fingerprint warstwy brzegowej

Komenda (produkcja)

curl.exe -vkI "https://servicios1.afip.gov.ar/" 2>&1

Wynik (produkcja)

HTTP/1.0 200 OK
Connection: Keep-Alive
Content-Length: 41

Interpretacja

Zwracany jest minimalny, „goły” HTTP/1.0 bez typowych nagłówków CDN/WAF. Nie ma fingerprintów globalnych vendorów (cf-ray, AkamaiGHost, X-CDN/Imperva, x-azure-ref itd.). To wygląda jak bezpośredni origin lub bardzo prosty lokalny front, bez globalnego edge.

Wniosek cząstkowy

Produkcja: brak śladów globalnego CDN/WAF w nagłówkach HTTP.

Komenda (homologacja)

curl.exe -vkI "https://wswhomo.afip.gov.ar/" 2>&1

Wynik (homologacja)

curl: (56) Recv failure: Connection was reset

Interpretacja

Reset połączenia nie jest dowodem vendor-edge. To częsty wzorzec w systemach testowych:

  • blokada HEAD,
  • specyficzna polityka firewall/WAF,
  • wymóg wejścia inną ścieżką (np. konkretny URL usługi),
  • lub restrykcje na poziomie handshake/renegocjacji.

Z punktu widzenia tezy kluczowe jest to, że reset nie ujawnia fingerprintów globalnego CDN/WAF-as-a-Service.

Wniosek cząstkowy

Homologacja: restrykcyjna polityka połączeń, ale bez sygnałów globalnego vendor-edge.

3. TLS – certyfikaty

Komenda

$h = "servicios1.afip.gov.ar"
$req = [System.Net.HttpWebRequest]::Create("https://$h/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }
$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()

Analogicznie dla wswhomo.afip.gov.ar.

Wynik – produkcja (servicios1.afip.gov.ar)

Subject: CN=servicios1.afip.gov.ar,
         O=AGENCIA DE RECAUDACION Y CONTROL ADUANERO,
         C=AR

Issuer : Sectigo Public Server Authentication CA OV R36
Valid  : 06.10.2025 – 19.10.2026

Interpretacja

Certyfikat jest:

  • dedykowany dla hosta AFIP,
  • z tożsamością instytucji argentyńskiej,
  • wystawiony przez komercyjny CA (Sectigo OV),
  • bez sygnatur vendor-edge CDN/WAF.

Wniosek cząstkowy

Produkcja: TLS bez oznak terminacji przez globalny CDN/WAF-as-a-Service.

Wynik – homologacja (wswhomo.afip.gov.ar)

Subject: CN=*.afip.gob.ar,
         O=AGENCIA DE RECAUDACION Y CONTROL ADUANERO,
         C=AR

Issuer : SSL.com RSA SSL subCA
Valid  : 04.08.2025 – 26.07.2026

Interpretacja

Homologacja używa innego certyfikatu (wildcard *.afip.gob.ar) i innego CA (SSL.com). To pokazuje:

  • rozdzielenie środowisk,
  • inną politykę certów,
  • ale nadal brak śladu globalnego vendor-edge.

Wniosek cząstkowy

Homologacja: inny cert i CA, bez oznak vendor-edge.

4. Synteza techniczna (Argentyna)

DNS

  • bezpośrednie rekordy A dla produkcji i homologacji,
  • brak CNAME do vendorów,
  • własne NS/SOA w domenie AFIP.

HTTP

  • produkcja: minimalna odpowiedź HTTP/1.0 200 OK bez fingerprintów CDN/WAF,
  • homologacja: reset połączenia (restrykcje), bez ujawnienia vendor-edge.

TLS

  • certy z identyfikacją instytucji państwowej,
  • różne certy/CA dla prod i test,
  • brak sygnałów globalnego CDN/WAF-as-a-Service.

5. Wniosek końcowy dla Argentyny

System e-faktury AFIP (WSFEv1) działa w modelu suwerennej infrastruktury państwowej, bez delegacji data-plane do globalnego WAF/CDN-as-a-Service. W homologacji widoczna jest restrykcyjna polityka połączeń, ale nie zmienia to wniosku o braku globalnego vendor-edge.

Klasyfikacja architektury:
➡️ Państwowy edge (on-prem / krajowe IP) + brak globalnego CDN/WAF w DNS/HTTP/TLS.

6. Ocena końcowa audytu

Status:
Brak dowodów na globalny WAF/CDN reverse-proxy w data-plane.

Model infrastrukturalny:
➡️ Suwerenny państwowy edge (bez CNAME, własne NS) + instytucjonalne certy TLS.

Wpływ na hipotezę badawczą:
➡️ Wzmacnia tezę, że globalne systemy clearance zwykle nie oddają data-plane vendorom WAF-as-a-Service – co podbija kontrast do Polski.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

Dodaj komentarz: