W Polsce każda komunikacja z KSeF przechodzi najpierw przez zagraniczną bramkę bezpieczeństwa (WAF) należącą do firmy Imperva, a dopiero potem trafia do systemów Ministerstwa Finansów.
Polska – KSeF
Audyt techniczny warstwy brzegowej i jurysdykcji
1. Kroki techniczne (PowerShell Windows: komenda → wynik)
Krok 1. DNS – CNAME
Sprawdzenie, czy host KSeF jest aliasem do zewnętrznej infrastruktury.
Resolve-DnsName ksef.mf.gov.pl -Type CNAME
Wynik:
ksef.mf.gov.pl CNAME nudnsjz.ng.impervadns.net
Już na tym etapie widać, że ksef.mf.gov.pl nie wskazuje bezpośrednio na infrastrukturę Ministerstwa Finansów, lecz jest aliasem do domeny impervadns.net, należącej do firmy Imperva.
Krok 2. DNS – rekord A
Ustalenie, gdzie faktycznie trafia ruch sieciowy.
Resolve-DnsName ksef.mf.gov.pl -Type A
Wynik:
nudnsjz.ng.impervadns.net
A 45.60.74.103
Adres IP należy do puli adresowej Imperva, a nie do sieci rządowej RP.
Krok 3. Reverse DNS (PTR)
nslookup 45.60.74.103
Wynik:
Non-existent domain
Brak PTR jest typowy dla infrastruktury WAF/CDN i nie podważa wcześniejszego ustalenia, ponieważ kluczowym dowodem jest alias CNAME do impervadns.net.
Krok 4. HTTP HEAD – nagłówki odpowiedzi
Invoke-WebRequest -Uri https://ksef.mf.gov.pl -Method Head
Wynik (istotne elementy):
HTTP/1.1 200 OK
Connection: keep-alive
Strict-Transport-Security: max-age=16070400; includeSubDomains
Content-Type: text/html
Nagłówki są „wyczyszczone”. Nie ma w nich jawnych fingerprintów WAF, co jest normalne w przypadku rozwiązań klasy enterprise i nie obala wcześniejszych ustaleń opartych na DNS.
Krok 5. TLS – certyfikat (terminacja połączenia)
[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
$tcp = New-Object Net.Sockets.TcpClient("ksef.mf.gov.pl",443)
$ssl = New-Object Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("ksef.mf.gov.pl")
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
$cert.Subject
$cert.Issuer
Wynik:
SUBJECT: CN=*.ksef.mf.gov.pl, O=MINISTERSTWO FINANSÓW, L=Warszawa, C=PL
ISSUER: CN=GeoTrust TLS RSA CA G1, O=DigiCert Inc, C=US
Certyfikat jest wystawiony na domenę Ministerstwa Finansów, jednak sam fakt istnienia certyfikatu nie zmienia wcześniejszego ustalenia: ruch trafia najpierw na bramkę Imperva, ponieważ to do niej prowadzi alias DNS.
2. Zestawienie wyników (techniczne)
| Element | Polska |
|---|---|
| System | KSeF – Krajowy System e-Faktur |
| Model | Centralny clearance |
| Audytowany host | ksef.mf.gov.pl |
| Bramka WAF / Edge | Imperva (Incapsula) |
| Własność | Imperva / Thales Group |
| Charakter właściciela | Francja (udział państwa) + USA (spółka operacyjna) |
| Jurysdykcja prawna | USA – CLOUD Act |
| Czy ruch przechodzi przez podmiot zagraniczny | TAK |
3. Wnioski opisowe
W Polsce każda komunikacja z KSeF przechodzi najpierw przez zagraniczną bramkę bezpieczeństwa (WAF) należącą do firmy Imperva, a dopiero potem trafia do systemów Ministerstwa Finansów.
Nie jest to zwykły certyfikat ani pasywna ochrona sieci. Jest to aktywny punkt pośredniczący, który widzi cały ruch przychodzący i wychodzący, może go analizować, filtrować i logować, a przy tym podlega amerykańskiej jurysdykcji prawnej (CLOUD Act).
Oznacza to, że techniczna kontrola nad wejściem do KSeF nie znajduje się wyłącznie w polskiej jurysdykcji, nawet jeśli same dane księgowe są dalej przetwarzane w systemach Ministerstwa Finansów.
Jest to cecha architektury systemu, a nie błąd konfiguracji czy incydentalna decyzja techniczna.