W przypadku Hiszpanii widać rozdzielenie dwóch warstw.
Hiszpania – AEAT (Sede Electrónica)
Audyt techniczny warstwy brzegowej i jurysdykcji
1. Kroki techniczne (PowerShell Windows: komenda → wynik)
Krok 1. DNS – CNAME
Sprawdzenie, czy host systemu jest aliasem do zewnętrznej infrastruktury CDN/WAF.
Resolve-DnsName sede.agenciatributaria.gob.es -Type CNAME
Wynik:
agenciatributaria.gob.es SOA cheryl.ns.cloudflare.com dns.cloudflare.com
Brak rekordu CNAME. Zwracany jest rekord SOA domeny, którego serwery nazw wskazują na Cloudflare (hostowanie DNS).
Krok 2. DNS – rekord A
Ustalenie, gdzie faktycznie trafia ruch sieciowy.
Resolve-DnsName sede.agenciatributaria.gob.es -Type A
Wynik:
sede.agenciatributaria.gob.es A 195.77.198.30
Adres IP nie wskazuje na typową infrastrukturę edge Cloudflare (brak aliasowania przez CNAME, IP wygląda na adres „origin”).
Krok 3. Reverse DNS (PTR)
nslookup 195.77.198.30
Wynik:
30.red-195-77-198.customer.static.ccgg.telefonica.net
Reverse DNS wskazuje na Telefónicę (hiszpańskiego operatora). To wspiera hipotezę, że jest to adres infrastruktury „origin”, a nie globalnego CDN.
Krok 4. HTTP HEAD – nagłówki odpowiedzi
Invoke-WebRequest -Uri https://sede.agenciatributaria.gob.es -Method Head
Wynik (istotne elementy):
HTTP/1.1 200 OK
x-frame-options: SAMEORIGIN
content-security-policy: frame-ancestors 'self' *.agenciatributaria.gob.es
x-site: Sede
x-xss-protection: 1; mode=block
strict-transport-security: ...
W nagłówkach brak fingerprintów CDN/WAF (np. Cloudflare: server: cloudflare, cf-ray, itp.).
Krok 5. TLS – certyfikat (terminacja połączenia)
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
$tcp = New-Object Net.Sockets.TcpClient("sede.agenciatributaria.gob.es",443)
$ssl = New-Object Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("sede.agenciatributaria.gob.es")
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
$cert.Subject
$cert.Issuer
Wynik:
SUBJECT: CN=agenciatributaria.gob.es, O=Agencia Estatal de Administración Tributaria, S=Madrid, C=ES, ...
ISSUER: CN=Sectigo Qualified Website Authentication CA R35, O=Sectigo (Europe) SL, C=ES
Certyfikat jest wystawiony na AEAT (podmiot rządowy) i nie wygląda na certyfikat terminowany na Cloudflare (brak łańcucha/issuer typowego dla Cloudflare).
2. Zestawienie wyników (techniczne)
| Element | Hiszpania |
|---|---|
| System | AEAT – Sede Electrónica (usługi podatkowe; kontekst: VeriFactu / raportowanie) |
| Model | Nie jest to jednolity clearance B2B jak KSeF/SdI; to infrastruktura usług AEAT |
| Audytowany host | sede.agenciatributaria.gob.es |
| Bramka WAF / Edge | Brak wykrywalnej zewnętrznej bramki na brzegu (data-plane) |
| DNS (control-plane) | Serwery nazw w Cloudflare (hostowanie DNS) |
| Własność infrastruktury (origin) | AEAT + operator (Telefonica – wskazanie z reverse DNS) |
| Jurysdykcja prawna (data-plane) | Hiszpania / UE |
| Czy ruch przechodzi przez podmiot zagraniczny | NIE (na podstawie braku proxy/CDN/WAF w ścieżce do hosta) |
3. Wnioski opisowe
W przypadku Hiszpanii widać rozdzielenie dwóch warstw.
Warstwa DNS (czyli „książka telefoniczna internetu”) jest utrzymywana na serwerach nazw Cloudflare. To oznacza, że Cloudflare uczestniczy w obsłudze zapytań DNS dla domeny AEAT. Jednak z przeprowadzonych testów nie wynika, aby Cloudflare pośredniczył w samym ruchu do serwisu (czyli nie widać typowej bramki CDN/WAF w torze transmisji).
Host sede.agenciatributaria.gob.es rozwiązuje się do adresu IP powiązanego z hiszpańskim operatorem (Telefónica), a certyfikat TLS jest wystawiony bezpośrednio na AEAT przez europejską jednostkę certyfikującą. Nagłówki HTTP nie zdradzają fingerprintów globalnego CDN/WAF.
W praktyce oznacza to, że – w odróżnieniu od polskiego KSeF – nie wykazano tu zagranicznej bramki WAF, przez którą musiałby przechodzić cały ruch użytkowników do usług podatkowych. Obecność Cloudflare dotyczy tu warstwy DNS, a nie warstwy transmisji danych.