Warstwa brzegowa systemu clearance B2B
Cel audytu
Celem jest ustalenie, czy publiczny punkt wejścia do systemu faktur elektronicznych NF-e w Brazylii:
- korzysta z globalnego WAF/CDN-as-a-Service w torze transmisji,
- deleguje DNS do zewnętrznego operatora,
- ujawnia fingerprinty reverse-proxy,
- czy też działa w modelu lokalnego, państwowego edge.
Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badany host:
www.nfe.fazenda.gov.br1. DNS – rekordy A / AAAA / CNAME
Komenda
$h = "www.nfe.fazenda.gov.br"
foreach($t in "A","AAAA","CNAME"){
Resolve-DnsName $h -Type $t
}Wynik
- A:
200.198.239.19 - AAAA: brak rekordu
- CNAME: brak (zwracany SOA strefy)
SOA domeny:
Primary: bsa1.serpro.gov.br
Admin: hostmaster.serpro.gov.brInterpretacja
Brak CNAME oznacza ruch nie jest kierowany do globalnego dostawcy CDN/WAF. SOA wskazuje na SERPRO – federalnego operatora IT Brazylii. To sugeruje DNS i infrastruktura należą do państwa, nie do zewnętrznego vendor-edge.
Wniosek cząstkowy
Brak delegacji DNS do globalnego WAF/CDN.
2. Odpowiedź HTTP – fingerprint warstwy brzegowej
Komenda
curl.exe -vkI "https://www.nfe.fazenda.gov.br/"Wynik
HTTP/1.1 302 Object moved
Location: /portal
Server: Microsoft-IIS/10.0
Set-Cookie: ASPSESSIONID...
X-Powered-By: ASP.NETInterpretacja
Nie występują nagłówki charakterystyczne dla:
- Cloudflare (
cf-ray,server: cloudflare) - Imperva (
X-CDN: Imperva,incap_*) - Akamai (
akamai-*,AkamaiGHost) - innych CDN/WAF (
Via,X-Cache,Edge-*)
Widoczny jest bezpośredni origin IIS/ASP.NET. To oznacza brak rozpoznawalnego reverse-proxy WAF/CDN w data-plane.
Wniosek cząstkowy
Warstwa HTTP wygląda na lokalny serwer aplikacyjny, nie globalny edge.
3. Certyfikat TLS – własność i terminacja
Komenda
$req = [System.Net.HttpWebRequest]::Create("https://www.nfe.fazenda.gov.br/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }
$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()Wynik
Subject: CN=www.nfe.fazenda.gov.br
Issuer : CN=R13, O=Let's Encrypt, C=US
Valid : 12.01.2026 – 12.04.2026Interpretacja
Certyfikat:
- wystawiony bezpośrednio dla domeny rządowej,
- nie wskazuje na certyfikację edge CDN,
- brak sygnatur vendor-TLS (Akamai, Cloudflare, Imperva).
Let’s Encrypt nie implikuje CDN – to neutralny publiczny CA.
Wniosek cząstkowy
Brak dowodu terminacji TLS przez globalny WAF/CDN.
4. Synteza wyników technicznych
DNS
- brak CNAME do CDN/WAF
- SOA wskazuje państwowego operatora (SERPRO)
HTTP
- brak fingerprintów vendor-edge
- widoczny origin IIS/ASP.NET
TLS
- certyfikat bezpośrednio dla domeny rządowej
- brak oznak terminacji przez zewnętrzny edge
5. Wniosek końcowy dla Brazylii
Publiczny punkt wejścia do systemu NF-e nie wykazuje obecności globalnego WAF/CDN w torze transmisji i wygląda na lokalny, państwowy edge infrastrukturalny.
6. Znaczenie porównawcze (w kontekście Polski)
Brazylia jest:
- jednym z najstarszych i największych systemów clearance B2B na świecie,
- systemem o bardzo wysokiej skali fiskalnej.
Mimo to nie ujawnia architektury globalnego reverse-proxy WAF w data-plane. To stanowi silny kontrast wobec architektury obserwowanej w Polsce.
7. Ocena końcowa audytu
Status: Brak dowodów na użycie globalnego WAF/CDN w warstwie brzegowej NF-e.
Klasyfikacja architektury:
➡️ Państwowy edge lokalny
Wpływ na tezę badawczą:
➡️ Wzmacnia hipotezę unikatowości Polski,
ponieważ nawet system o skali Brazylii nie stosuje analogicznego modelu.
Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65