Albania — Einvoice.tatime.gov.al
1. Cel badania
Celem audytu jest ustalenie:
- czy albański system e-fakturowania działa za zewnętrznym WAF/CDN,
- czy w krajowej infrastrukturze,
- oraz jaki podmiot technologiczny realizuje warstwę brzegową TLS/WAF.
Badanie wykonano wyłącznie metodami pasywnymi:
- DNS
- HTTP headers
- TLS handshake (OpenSSL)
czyli bez ingerencji w system.
2. Krok 1 — DNS
Komendy
Resolve-DnsName Einvoice.tatime.gov.al -Type A
Resolve-DnsName Einvoice.tatime.gov.al -Type CNAME
Resolve-DnsName tatime.gov.al -Type NS
Resolve-DnsName tatime.gov.al -Type SOAWynik
Einvoice.tatime.gov.al→ A = 134.0.42.242- brak CNAME
- serwery nazw strefy:
ns1.akshi.gov.alns2.akshi.gov.al
- SOA:
dns.akshi.gov.al
Interpretacja
Brak rekordu CNAME wyklucza typową architekturę:
- Cloudflare
- Imperva
- Akamai
- Azure Front Door
- AWS CloudFront
na poziomie DNS.
Serwery nazw w domenie AKSHI (albańska agencja rządowa IT) wskazują na państwową kontrolę przestrzeni DNS i routingu usług.
Wniosek po DNS: brak dowodu na WAF-as-a-Service, możliwa krajowa infrastruktura brzegowa.
3. Krok 2 — HTTP/HTTPS (nagłówki)
Komenda
curl.exe -vkI https://Einvoice.tatime.gov.al/Wynik (kluczowe elementy)
HTTP/1.1 404 Not FoundContent-Type: text/html; charset=UTF-8- brak nagłówka
Server - brak
Via,X-Cache,X-CDN - cookie:
Set-Cookie: TS015a769c=...Interpretacja
Prefiks ciasteczka: TSxxxxxxxx jest charakterystycznym fingerprintem F5 BIG-IP (LTM / ASM / APM) czyli sprzętowego ADC/WAF klasy enterprise.
To oznacza jednoznacznie: na brzegu stoi komercyjne urządzenie WAF, ale nie jest to chmura CDN/WAF-as-a-Service.
Brak nagłówków Cloudflare / Imperva / Akamai potwierdza: lokalną, krajową infrastrukturę edge.
Kod 404 na / jest normalny dla: endpointów SOAP/API, usług clearance i nie ma znaczenia diagnostycznego.
4. Krok 3 — TLS i certyfikat (OpenSSL)
Komenda
openssl s_client `
-connect Einvoice.tatime.gov.al:443 `
-servername Einvoice.tatime.gov.al `
-tls1_2 -showcertsWynik (najważniejsze fakty)
Certyfikat serwera
subject = CN=*.tatime.gov.al- wildcard dla całej domeny tatime.gov.al
Wystawca
RapidSSL TLS RSA CA G1- organizacja: DigiCert Inc
- root: DigiCert Global Root G2
Czyli: globalna komercyjna PKI, nie lokalna CA państwowa.
Parametry TLS
Protocol: TLSv1.2Cipher: ECDHE-RSA-AES128-GCM-SHA256- brak ALPN (czyli brak HTTP/2)
Verify return code: 0 (OK)
5. Interpretacja kryptograficzna
Zestawienie faktów:
| Warstwa | Charakter |
|---|---|
| DNS | państwowy (AKSHI) |
| IP | bez hyperscalera |
| WAF | sprzętowy F5 BIG-IP |
| PKI | globalna komercyjna (DigiCert) |
| TLS | konserwatywny (TLS 1.2, brak ALPN) |
To daje bardzo spójny model: krajowa infrastruktura + sprzętowy WAF + globalny certyfikat komercyjny.
Czyli:
- państwo kontroluje sieć i routing,
- ale korzysta z rynku komercyjnego dla:
- urządzeń bezpieczeństwa (F5),
- PKI (DigiCert).
6. Ocena końcowa architektury
Czy Albania używa WAF-as-a-Service?
Nie.
Brak:
- CNAME do CDN
- nagłówków CDN
- cookies Imperva/Cloudflare/Akamai
wyklucza model chmurowy.
Kto realizuje warstwę WAF?
Dowód techniczny: cookie TS… → F5 BIG-IP
Wniosek: sprzętowy WAF F5 w krajowej infrastrukturze.
Model infrastrukturalny Albanii
Najkrótszy opis:
Państwowy DNS + lokalny edge + sprzętowy WAF F5 + komercyjna PKI DigiCert.
To model:
- suwerenny sieciowo,
- ale technologicznie rynkowy,
- pośredni między:
- Węgrami (lokalna CA, lokalny edge),
- Polską (zewnętrzny WAF-as-a-Service).
7. Znaczenie porównawcze w Europie
Albania wpisuje się w wzorzec: lokalna kontrola infrastruktury + komercyjny sprzęt bezpieczeństwa
czyli model:
- częsty w mniejszych państwach,
- tańszy i prostszy niż własna PKI państwowa,
- bardziej suwerenny niż chmura WAF.
8. Wniosek końcowy
Albański system e-fakturowania nie korzysta z globalnej chmury WAF/CDN, lecz działa w modelu:
- krajowa infrastruktura sieciowa,
- sprzętowy WAF F5
- certyfikat DigiCert wildcard.
Jest to architektura: pośrednia między pełną suwerennością technologiczną a outsourcingiem bezpieczeństwa do chmury.