舒心！彻底告别域名 SSL 证书过期困扰

域名证书过期会给企业业务带来严重的影响，由证书过期导致的业务停摆事件屡见不鲜，小到创业团队 APP、大到知名大企业核心业务。大量的故障已经证明单纯强调加强管理无济于事，更重要的是自动化监控、告警机制的协助。本文介绍 DeepFlow 的零侵扰解决方案，干脆利落、一网打尽，即刻构建企业内部自有域名、外部依赖域名的全方位无死角监控。

0x0: 域名证书过期的经典事故

2023 年最有名的域名证书过期事故当属 SpaceX 的星链故障了，为此 Elon Musk 还特意发了两条推文，尴尬难掩：

SpaceX 星链由于地面站域名证书过期导致故障

证书过期在大公司中造成的故障确实不少，例如前两年特斯拉证书过期导致车辆无法正常解锁、LinkedIn 接连两次过期导致站点停机等等。

0x1: DeepFlow 零侵扰监控证书过期时间

DeepFlow 6.4 中新增了 TLS 握手协议的解析能力，能够从握手消息中提取域名、证书有效期等字段。DeepFlow 获取这些数据是完全零侵扰的，不需要改业务代码、不需要写监控代码、不需要重新发版、不需要重启进程：

DeepFlow 展示的 TLS 调用日志

如上图所示，通过这个功能，最近我司 IT 同事小李成功的发现了 demo.deepflow 的证书还有不到 12 天的有效期。由于小李完全忘了这事，看到这个信息时还特意打开浏览器求证了一把：

demo.deepflow.yunshan.net 当天的证书信息

小李成功的发现了这个隐患，目前新的证书已经在申请中，我们因此提前规避了一次线上业务春节假期罢工的事故。

0x2: 密码套件和协议版本，护航安全合规

DeepFlow 通过解析 TLS 握手消息获得的信息非常丰富，除了证书过期时间以外，还包括密码套件（Cipher Suite）、TLS 协议版本等等。对于有合规要求的企业来讲，这个能力也提供了非常便捷的全网合规保障：

TLS 调用日志呈现的丰富信息

0x3: 一些有意思的小发现

在小李发现了 demo.deepflow 的潜在隐患以后，我们也一起围观了我司同事日常生活、以及我司线上业务所依赖的外部域名的证书情况：

临近过期的域名证书

从图中可以发现：

• douyinvod.com 一个证书将会在两周内到期
• baidu.com 一个证书将会在三周内到期
• aliyun.com 一个证书将会在三周内到期
• …

相信这些公司都有完善的管理和监控机制，祝大家愉快度过龙年春节。

0x4: 如何获取上述能力

使用 DeepFlow 构建证书过期时间监控体系只需要 3 步：

• 确认业务运行环境 Linux Kernel >= 2.6、Windows >= 2008R2
• 执行 deepflow-ee install 部署 DeepFlow 企业版
• 在 DeepFlow 页面上配置一个 SSL 证书到期告警

在 DeepFlow 中设置域名到期告警

是的，不需要改业务代码、不需要写监控代码、不需要重新发版、不需要重启进程，干脆利落、一网打尽，即刻构建企业内部自有域名、外部依赖域名的全方位无死角监控。

0x5: 什么是 DeepFlow

DeepFlow 是云杉网络开发的一款可观测性产品，旨在为复杂的云基础设施及云原生应用提供深度可观测性。DeepFlow 基于 eBPF 实现了应用性能指标、分布式追踪、持续性能剖析等观测信号的零侵扰（Zero Code）采集，并结合智能标签（SmartEncoding）技术实现了所有观测信号的全栈（Full Stack）关联和高效存取。使用 DeepFlow，可以让云原生应用自动具有深度可观测性，从而消除开发者不断插桩的沉重负担，并为 DevOps/SRE 团队提供从代码到基础设施的监控及诊断能力。

GitHub 地址：https://github.com/deepflowio/deepflow

访问 DeepFlow Demo，体验零插桩、全覆盖、全关联的可观测性。