Albania — Einvoice.tatime.gov.al
1. Cel badania
Celem audytu jest ustalenie:-
- czy albański system e-fakturowania działa za zewnętrznym WAF/CDN,
-
- czy w krajowej infrastrukturze,
-
- oraz jaki podmiot technologiczny realizuje warstwę brzegową TLS/WAF.
-
- DNS
-
- HTTP headers
-
- TLS handshake (OpenSSL)
2. Krok 1 — DNS
Komendy
Resolve-DnsName Einvoice.tatime.gov.al -Type A
Resolve-DnsName Einvoice.tatime.gov.al -Type CNAME
Resolve-DnsName tatime.gov.al -Type NS
Resolve-DnsName tatime.gov.al -Type SOAWynik
-
Einvoice.tatime.gov.al→ A = 134.0.42.242
-
- brak CNAME
-
- serwery nazw strefy:
-
ns1.akshi.gov.al
-
ns2.akshi.gov.al
-
- serwery nazw strefy:
-
- SOA:
-
dns.akshi.gov.al
-
- SOA:
Interpretacja
Brak rekordu CNAME wyklucza typową architekturę:-
- Cloudflare
-
- Imperva
-
- Akamai
-
- Azure Front Door
-
- AWS CloudFront
3. Krok 2 — HTTP/HTTPS (nagłówki)
Komenda
curl.exe -vkI https://Einvoice.tatime.gov.al/Wynik (kluczowe elementy)
-
HTTP/1.1 404 Not Found
-
Content-Type: text/html; charset=UTF-8
-
- brak nagłówka
Server
- brak nagłówka
-
- brak
Via,X-Cache,X-CDN
- brak
-
- cookie:
Set-Cookie: TS015a769c=...Interpretacja
Prefiks ciasteczka: TSxxxxxxxx jest charakterystycznym fingerprintem F5 BIG-IP (LTM / ASM / APM) czyli sprzętowego ADC/WAF klasy enterprise. To oznacza jednoznacznie: na brzegu stoi komercyjne urządzenie WAF, ale nie jest to chmura CDN/WAF-as-a-Service. Brak nagłówków Cloudflare / Imperva / Akamai potwierdza: lokalną, krajową infrastrukturę edge. Kod 404 na/ jest normalny dla: endpointów SOAP/API, usług clearance i nie ma znaczenia diagnostycznego.
4. Krok 3 — TLS i certyfikat (OpenSSL)
Komenda
openssl s_client `
-connect Einvoice.tatime.gov.al:443 `
-servername Einvoice.tatime.gov.al `
-tls1_2 -showcertsWynik (najważniejsze fakty)
Certyfikat serwera
-
subject = CN=*.tatime.gov.al
-
- wildcard dla całej domeny tatime.gov.al
Wystawca
-
RapidSSL TLS RSA CA G1
-
- organizacja: DigiCert Inc
-
- root: DigiCert Global Root G2
Parametry TLS
-
Protocol: TLSv1.2
-
Cipher: ECDHE-RSA-AES128-GCM-SHA256
-
- brak ALPN (czyli brak HTTP/2)
-
Verify return code: 0 (OK)
5. Interpretacja kryptograficzna
Zestawienie faktów:| Warstwa | Charakter |
|---|---|
| DNS | państwowy (AKSHI) |
| IP | bez hyperscalera |
| WAF | sprzętowy F5 BIG-IP |
| PKI | globalna komercyjna (DigiCert) |
| TLS | konserwatywny (TLS 1.2, brak ALPN) |
-
- państwo kontroluje sieć i routing,
-
- ale korzysta z rynku komercyjnego dla:
-
- urządzeń bezpieczeństwa (F5),
-
- PKI (DigiCert).
-
- ale korzysta z rynku komercyjnego dla:
6. Ocena końcowa architektury
Czy Albania używa WAF-as-a-Service?
Nie. Brak:-
- CNAME do CDN
-
- nagłówków CDN
-
- cookies Imperva/Cloudflare/Akamai
Kto realizuje warstwę WAF?
Dowód techniczny: cookieTS… → F5 BIG-IP
Wniosek: sprzętowy WAF F5 w krajowej infrastrukturze.
Model infrastrukturalny Albanii
Najkrótszy opis:Państwowy DNS + lokalny edge + sprzętowy WAF F5 + komercyjna PKI DigiCert.To model:
-
- suwerenny sieciowo,
-
- ale technologicznie rynkowy,
-
- pośredni między:
-
- Węgrami (lokalna CA, lokalny edge),
-
- Polską (zewnętrzny WAF-as-a-Service).
-
- pośredni między:
7. Znaczenie porównawcze w Europie
Albania wpisuje się w wzorzec: lokalna kontrola infrastruktury + komercyjny sprzęt bezpieczeństwa czyli model:-
- częsty w mniejszych państwach,
-
- tańszy i prostszy niż własna PKI państwowa,
-
- bardziej suwerenny niż chmura WAF.
8. Wniosek końcowy
Albański system e-fakturowania nie korzysta z globalnej chmury WAF/CDN, lecz działa w modelu:Jest to architektura: pośrednia między pełną suwerennością technologiczną a outsourcingiem bezpieczeństwa do chmury.
- krajowa infrastruktura sieciowa,
- sprzętowy WAF F5
- certyfikat DigiCert wildcard.
Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65