FORUM
ID
ID TABLICA Niezalogowany
GPS
Autor: GPS
Opublikowano: 05.02.2026 | Ostatnia aktualizacja: 17.05.2026 18:59 | 👁 16

Audyt techniczny. Polska.

W Polsce każda komunikacja z KSeF przechodzi najpierw przez zagraniczną bramkę bezpieczeństwa (WAF) należącą do firmy Imperva, a dopiero potem trafia do systemów Ministerstwa Finansów.

Polska – KSeF

Audyt techniczny warstwy brzegowej i jurysdykcji

1. Kroki techniczne (PowerShell Windows: komenda → wynik)

Krok 1. DNS – CNAME

Sprawdzenie, czy host KSeF jest aliasem do zewnętrznej infrastruktury. 
Resolve-DnsName ksef.mf.gov.pl -Type CNAME
Wynik: 
ksef.mf.gov.pl  CNAME  nudnsjz.ng.impervadns.net
Już na tym etapie widać, że ksef.mf.gov.pl nie wskazuje bezpośrednio na infrastrukturę Ministerstwa Finansów, lecz jest aliasem do domeny impervadns.net, należącej do firmy Imperva.

Krok 2. DNS – rekord A

Ustalenie, gdzie faktycznie trafia ruch sieciowy. 
Resolve-DnsName ksef.mf.gov.pl -Type A
Wynik: 
nudnsjz.ng.impervadns.net
A  45.60.74.103
Adres IP należy do puli adresowej Imperva, a nie do sieci rządowej RP.

Krok 3. Reverse DNS (PTR)

nslookup 45.60.74.103
Wynik: 
Non-existent domain
Brak PTR jest typowy dla infrastruktury WAF/CDN i nie podważa wcześniejszego ustalenia, ponieważ kluczowym dowodem jest alias CNAME do impervadns.net.

Krok 4. HTTP HEAD – nagłówki odpowiedzi

Invoke-WebRequest -Uri https://ksef.mf.gov.pl -Method Head
Wynik (istotne elementy): 
HTTP/1.1 200 OK
Connection: keep-alive
Strict-Transport-Security: max-age=16070400; includeSubDomains
Content-Type: text/html
Nagłówki są „wyczyszczone”. Nie ma w nich jawnych fingerprintów WAF, co jest normalne w przypadku rozwiązań klasy enterprise i nie obala wcześniejszych ustaleń opartych na DNS.

Krok 5. TLS – certyfikat (terminacja połączenia)

[System.Net.ServicePointManager]::SecurityProtocol = [System.Net.SecurityProtocolType]::Tls12
$tcp = New-Object Net.Sockets.TcpClient("ksef.mf.gov.pl",443)
$ssl = New-Object Net.Security.SslStream($tcp.GetStream(),$false,({$true}))
$ssl.AuthenticateAsClient("ksef.mf.gov.pl")
$cert = New-Object System.Security.Cryptography.X509Certificates.X509Certificate2($ssl.RemoteCertificate)
$cert.Subject
$cert.Issuer
Wynik: 
SUBJECT: CN=*.ksef.mf.gov.pl, O=MINISTERSTWO FINANSÓW, L=Warszawa, C=PL
ISSUER:  CN=GeoTrust TLS RSA CA G1, O=DigiCert Inc, C=US
Certyfikat jest wystawiony na domenę Ministerstwa Finansów, jednak sam fakt istnienia certyfikatu nie zmienia wcześniejszego ustalenia: ruch trafia najpierw na bramkę Imperva, ponieważ to do niej prowadzi alias DNS.

2. Zestawienie wyników (techniczne)

Element Polska
System KSeF – Krajowy System e-Faktur
Model Centralny clearance
Audytowany host ksef.mf.gov.pl
Bramka WAF / Edge Imperva (Incapsula)
Własność Imperva / Thales Group
Charakter właściciela Francja (udział państwa) + USA (spółka operacyjna)
Jurysdykcja prawna USA – CLOUD Act
Czy ruch przechodzi przez podmiot zagraniczny TAK

3. Wnioski opisowe

W Polsce każda komunikacja z KSeF przechodzi najpierw przez zagraniczną bramkę bezpieczeństwa (WAF) należącą do firmy Imperva, a dopiero potem trafia do systemów Ministerstwa Finansów. Nie jest to zwykły certyfikat ani pasywna ochrona sieci. Jest to aktywny punkt pośredniczący, który widzi cały ruch przychodzący i wychodzący, może go analizować, filtrować i logować, a przy tym podlega amerykańskiej jurysdykcji prawnej (CLOUD Act). Oznacza to, że techniczna kontrola nad wejściem do KSeF nie znajduje się wyłącznie w polskiej jurysdykcji, nawet jeśli same dane księgowe są dalej przetwarzane w systemach Ministerstwa Finansów. Jest to cecha architektury systemu, a nie błąd konfiguracji czy incydentalna decyzja techniczna.

Grzegorz GPS Świderski Kanał Blogera GPS GPS i Przyjaciele X.GPS65

Brak wpisów. Napisz pierwszy komentarz.

1 komentarz(e)

  • John pisze:
    9 lutego, 2026 o 2:09 am

    Imperva:
    Założyciele: Shlomo Kramer, Mickey Boodaei, Amichai Shulman
    Siedziba: San Mateo, Kalifornia, Stany Zjednoczone

Dodaj komentarz: