Informacje Lokalne

ZdrowiePOLSKALOKALNESWIATHYDEPARK

Audyt techniczny. Meksyk

Opublikowano: 16.02.2026 | Autor: Grzegorz GPS Świderski | Ostatnia aktualizacja: 16.02.2026 18:41

Warstwa brzegowa systemu clearance B2B (CFDI) – punkt weryfikacji

Cel audytu

Celem jest ustalenie, czy publiczny punkt weryfikacji faktur elektronicznych w Meksyku (SAT) działa:

  • w modelu globalnego WAF/CDN-as-a-Service (reverse-proxy w data-plane),
  • czy w modelu hostingu w chmurze bez zewnętrznego vendor-edge,
  • oraz czy widać delegację DNS i fingerprinty warstwy pośredniej.

Audyt wykonano z sieci publicznej, bez uwierzytelnienia. Badany host:

verificacfdi.facturaelectronica.sat.gob.mx

1. DNS – rekordy A / AAAA / CNAME

Komenda

$h = "verificacfdi.facturaelectronica.sat.gob.mx"

foreach($t in "A","AAAA","CNAME"){
  Resolve-DnsName $h -Type $t
}

Wynik

  • A: 13.65.246.176
  • AAAA: brak rekordu
  • CNAME: brak (zwracany SOA strefy)

Interpretacja

Adres IPv4 13.65.246.176 należy do puli Microsoft Azure. To oznacza, że usługa jest hostowana na hyperscalerze. Jednocześnie brak CNAME oznacza brak delegacji ruchu do typowych vendorów CDN/WAF (Cloudflare, Akamai, Imperva itd.) już na poziomie DNS.

Wniosek cząstkowy

Hosting w chmurze: TAK (Azure). Globalny WAF-as-a-Service w DNS: brak przesłanek.

2. DNS – kontrola strefy (NS / SOA)

Komenda

$zone = "sat.gob.mx"
Resolve-DnsName $zone -Type NS
Resolve-DnsName $zone -Type SOA

Wynik (NS)

Widoczne serwery nazw w domenie SAT, m.in.:

xolotl.sat.gob.mx
huitzilopochtli.sat.gob.mx
tochtli.sat.gob.mx
quetzalcoatl.sat.gob.mx
tlahuizcalpantecuhtli.sat.gob.mx
ns2.sat.gob.mx

SOA:

PrimaryServer: tlahuizcalpantecuhtli.sat.gob.mx
NameAdministrator: seguridad.sat.gob.mx

Interpretacja

DNS control-plane jest utrzymywany wewnątrz domeny SAT. To jest ważne: państwo kontroluje strefę DNS, nawet jeśli aplikacja jest hostowana w chmurze.

Wniosek cząstkowy

Kontrola DNS: państwowa (SAT).

3. HTTP – fingerprint warstwy brzegowej (nagłówki, cookies, proxy)

Komenda

$h = "verificacfdi.facturaelectronica.sat.gob.mx"
curl.exe -vkI "https://$h/" 2>&1

Wynik

HTTP/1.1 200 OK
Server: Microsoft-IIS/10.0
Set-Cookie: ASP.NET_SessionId=...; HttpOnly; SameSite=Lax
X-AspNet-Version: 4.0.30319
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-Frame-Options: SAMEORIGIN

Interpretacja

Nie występują nagłówki typowe dla globalnych vendorów edge:

  • Cloudflare: brak server: cloudflare, brak cf-ray
  • Akamai: brak AkamaiGHost, brak akamai-*
  • Imperva: brak X-CDN: Imperva, brak ciastek incap_*
  • brak Via, X-Cache, Edge-*, FrontDoor, x-msedge-ref

Widzimy klasyczny fingerprint aplikacji IIS/ASP.NET: ASP.NET_SessionId, X-AspNet-Version. To sugeruje brak rozpoznawalnego reverse-proxy WAF/CDN-as-a-Service w data-plane.

Wniosek cząstkowy

Warstwa HTTP wygląda na origin IIS/ASP.NET, bez vendor-edge.

4. TLS – certyfikat (tożsamość i potencjalna terminacja)

Komenda

$h = "verificacfdi.facturaelectronica.sat.gob.mx"

$req = [System.Net.HttpWebRequest]::Create("https://$h/")
$req.Method = "GET"
$req.AllowAutoRedirect = $false
try { $resp = $req.GetResponse() } catch { $resp = $_.Exception.Response }

$cert = $req.ServicePoint.Certificate
$cert.Subject
$cert.Issuer
$cert.GetEffectiveDateString()
$cert.GetExpirationDateString()

Wynik

Subject: CN=*.facturaelectronica.sat.gob.mx,
         O=Servicio de Administración Tributaria,
         L=Ciudad de México, S=Ciudad de México, C=MX
Issuer : CN=GlobalSign RSA OV SSL CA 2018, O=GlobalSign nv-sa, C=BE
Valid  : 05.03.2025 – 06.04.2026

Interpretacja

Certyfikat jest wystawiony dla wildcarda domeny SAT i zawiera dane organizacyjne SAT. To istotne, bo w modelu „globalny vendor-edge” często widzi się:

  • certyfikaty vendorowe,
  • albo sygnatury charakterystyczne dla edge CDN.

Tutaj tego nie ma. Cert jest „instytucjonalny”, a nie „vendorowy”.

Wniosek cząstkowy

Brak przesłanek terminacji TLS przez globalny WAF-as-a-Service.

5. Synteza techniczna

DNS

  • rekord A wskazuje na Azure (13.65.246.176)
  • brak CNAME do vendorów CDN/WAF
  • NS/SOA: kontrola domeny przez SAT

HTTP

  • Server: Microsoft-IIS/10.0
  • ASP.NET_SessionId, X-AspNet-Version
  • brak fingerprintów Cloudflare/Akamai/Imperva i brak nagłówków proxy

TLS

  • certyfikat wildcard SAT z OV GlobalSign
  • brak sygnałów vendorowego edge

6. Wniosek końcowy dla Meksyku (SAT)

Badany punkt SAT jest hostowany w chmurze (Microsoft Azure), ale nie wykazuje oznak użycia globalnego WAF/CDN-as-a-Service jako reverse-proxy w data-plane. Czyli: chmura jako hosting — tak. Globalny vendor-edge w torze — brak dowodów.

7. Znaczenie porównawcze (w kontekście Polski)

Meksyk jest globalnym wzorcem clearance (CFDI) o ogromnej skali. Mimo tego nie widać delegacji ruchu do zewnętrznego WAF-as-a-Service w torze transmisji. To wzmacnia tezę, że Polska wyróżnia się nie samą cyfryzacją, tylko wyborem architektury brzegowej i pośrednictwa vendor-edge w data-plane.

8. Ocena końcowa audytu

Status:
Brak dowodów na globalny WAF/CDN reverse-proxy w data-plane.

Klasyfikacja architektury:
➡️ Hosting w chmurze (Azure) + państwowa kontrola DNS + origin IIS/ASP.NET

Wpływ na tezę badawczą:
➡️ Wzmacnia hipotezę unikatowości Polski: nawet hyperscaler nie oznacza automatycznie vendorowego WAF-as-a-Service w torze.

Grzegorz GPS Świderski
Kanał Blogera GPS
GPS i Przyjaciele
X.GPS65

Dodaj komentarz: