Przez długi czas rozmowa o bezpieczeństwie domen i usług webowych była upraszczana do pojedynczych haseł: certyfikat SSL, HSTS, przekierowanie na HTTPS, ewentualnie analiza preload. W praktyce każdy, kto utrzymuje produkcyjne środowiska, wie jednak, że rzeczywisty stan „zaufania” domeny lub usługi jest dużo szerszy. Liczy się nie tylko sam certyfikat, ale również jego poprawność, zgodność z nazwą hosta, kompletność łańcucha zaufania, spójność DNS, obecność CAA, a coraz częściej także podstawowa higiena rekordów pocztowych takich jak SPF, DMARC i DKIM.
Właśnie z takiego założenia rozwijaliśmy hexssl-cli. Narzędzie zaczynało jako praktyczny CLI do diagnostyki HSTS i zachowania HTTPS. W wersji 0.2.0 wchodzi jednak na kolejny poziom. To już nie jest wyłącznie utility do sprawdzania nagłówka HSTS. To pierwszy realny krok w stronę szerszego zestawu kontroli trust, TLS, DNS i mail security, który można uruchamiać ręcznie, zautomatyzować w skryptach albo wpiąć w prosty pipeline operacyjny.
Spis Treści
Dlaczego rozbudowaliśmy hexssl-cli?
W codziennej pracy administratora, osoby z DevOps, supportu technicznego albo hostingu problem niemal nigdy nie kończy się na pytaniu: „czy certyfikat istnieje?”. Dużo częściej pytania są bardziej konkretne i dużo bardziej operacyjne. Czy certyfikat jest jeszcze ważny. Czy nazwa hosta pasuje do SAN. Czy łańcuch jest zaufany. Czy apex i www rozwiązują się spójnie. Czy domena ma CAA. Czy poczta ma SPF i DMARC. Czy DKIM dla konkretnego selektora w ogóle istnieje.
To właśnie ten typ codziennych, praktycznych pytań chcieliśmy zamknąć w lekkim narzędziu CLI, które daje czytelny wynik dla człowieka, ale jednocześnie nadaje się do automatyzacji. Dlatego w v0.2.0 hexssl-cli wychodzi poza sam HSTS i obejmuje trzy nowe obszary: certyfikaty, DNS i mail trust.
Co wnosi wersja 0.2.0?
Najważniejszą zmianą jest rozszerzenie narzędzia o trzy nowe grupy kontroli. Pierwsza z nich to cert check, czyli szybka inspekcja certyfikatu dla wskazanego hosta. Komenda zwraca informacje o issuerze, dacie wygaśnięcia, liczbie dni pozostałych do końca ważności, zgodności z nazwą hosta, polach SAN oraz podstawowym werdykcie dotyczącym łańcucha zaufania. To prosty, ale bardzo użyteczny check, który natychmiast pokazuje, czy problemem jest wygaśnięcie, self-signed cert, hostname mismatch albo błąd walidacji łańcucha.
Drugim nowym obszarem jest dns check. Tutaj celem nie było budowanie rozbudowanego audytora DNS, tylko lekkiej kontroli operacyjnej. Komenda sprawdza rekordy A, AAAA, CNAME i CAA oraz daje prostą ocenę spójności między apex a www. W praktyce taki check szybko wyłapuje domeny, które technicznie „działają”, ale nie mają podstawowych elementów hardeningu, na przykład brakującego CAA.
Trzecia nowość to mail check, czyli pierwszy krok w stronę kontroli zaufania pocztowego. Narzędzie analizuje rekordy SPF, DMARC oraz DKIM dla wskazanego selektora. To szczególnie ważne w środowiskach, w których domena nie jest tylko adresem strony WWW, ale też nośnikiem reputacji pocztowej, ochrony przed spoofingiem i podstawowej dojrzałości organizacji w zakresie bezpieczeństwa komunikacji.
Przykłady użycia.
Nowe komendy zostały zaprojektowane tak, aby były proste w użyciu i czytelne już przy pierwszym uruchomieniu.
Sprawdzenie certyfikatu:
hexssl-cli cert check example.com
Sprawdzenie DNS:
hexssl-cli dns check example.com
Sprawdzenie podstaw mail trust dla wybranego selektora DKIM:
hexssl-cli mail check example.com --selector default
Każda z tych komend może również zwrócić wynik w JSON, co jest istotne, jeśli wynik ma być dalej konsumowany przez skrypt, pipeline lub inne narzędzie:
hexssl-cli cert check example.com --json
hexssl-cli dns check example.com --json
hexssl-cli mail check example.com --selector default --json
To ważne, bo jednym z założeń rozwoju hexssl-cli nie było stworzenie kolejnego „ładnego checkera do terminala”, ale narzędzia, które nadaje się zarówno do użycia ad hoc, jak i do prostych zastosowań automatyzacyjnych.
Co oznacza to w praktyce?
Wartość takich komend nie wynika z samej liczby pól, które potrafią odczytać. Liczy się to, że dają one szybki i operacyjny werdykt. Dla przykładu, domena może poprawnie się otwierać w przeglądarce, ale nadal mieć brak CAA, słabą politykę DMARC albo brak DKIM dla używanego selektora. Z perspektywy użytkownika końcowego „wszystko działa”. Z perspektywy osoby odpowiedzialnej za bezpieczeństwo i utrzymanie oznacza to jednak konkretne luki w dojrzałości konfiguracji.
hexssl-cli ma właśnie skracać drogę od „coś jest nie tak” do „wiem, co dokładnie sprawdzić i poprawić”.
To podejście jest szczególnie przydatne w kilku scenariuszach. Pierwszy to praca operacyjna administratora lub supportu, gdy trzeba szybko potwierdzić stan konkretnej domeny. Drugi to onboarding nowej usługi albo migracja, kiedy trzeba sprawdzić, czy certyfikat, DNS i podstawy mail trust są spójne. Trzeci to środowiska hostingowe lub partnerskie, gdzie podobne kontrole są wykonywane wielokrotnie dla wielu domen. Czwarty to prosty CI/CD lub skrypty cykliczne, w których wynik w JSON i sensowne kody wyjścia są znacznie cenniejsze niż sam kolorowy output w terminalu.
To nie jest jeszcze pełny pakiet – i dobrze.
Wersja 0.2.0 nie próbuje być wszystkim naraz. To nie jest jeszcze pełny platformowy system do fleet scanningu, zarządzania cyklem życia certyfikatów czy masowej analizy rekordów mailowych. I to jest świadoma decyzja. Znacznie lepiej rozwijać takie narzędzie etapami, budując mały, stabilny rdzeń i użyteczne moduły, niż od razu tworzyć ciężki kombajn, którego nikt nie będzie chciał utrzymywać. Na dziś hexssl-cli ma już sensowny fundament: istniejące komendy HSTS, nowy moduł certyfikatów, moduł DNS, moduł mail trust oraz wspólny mechanizm wyników, formatterów i kodów wyjścia. To oznacza, że kolejne etapy rozwoju można budować już na spójnym szkielecie, a nie na przypadkowo dokładanych komendach.
Co dalej?
Naturalnym kolejnym krokiem będzie rozwój warstwy agregującej, czyli takiego raportu, który pozwoli uruchomić kilka kontroli jednocześnie i otrzymać jeden zbiorczy wynik dla domeny. To kierunek szczególnie ciekawy dla partnerów, hostingu, MSP i wszystkich tych, którzy chcą w prosty sposób połączyć w jednym miejscu widok na certyfikat, DNS, HSTS i mail trust. Równie ważnym obszarem jest dalsze dopracowanie doświadczenia developerskiego: release workflow, automatyzacja changeloga, dalsze porządkowanie dokumentacji i kolejne testy. W praktyce dojrzałość takiego CLI wynika nie tylko z liczby komend, ale również z przewidywalności zachowania, stabilności outputu i łatwości integracji z resztą środowiska.
Wersja 0.2.0 to moment, w którym hexssl-cli przestaje być tylko narzędziem do HSTS i zaczyna realnie pełnić rolę lekkiego trust toolkit dla administratorów, DevOps i zespołów technicznych. Nowe komendy cert check, dns check i mail check nie rozwiązują wszystkich problemów świata, ale trafiają dokładnie w ten obszar, który w praktyce boli najbardziej: szybka, techniczna i użyteczna diagnoza stanu domeny i jej podstawowych warstw zaufania.
Dla nas to też ważny sygnał kierunkowy. Chcemy rozwijać nie tylko ofertę produktową i treści edukacyjne, ale również własne narzędzia, które mają realną wartość operacyjną. hexssl-cli 0.2.0 jest właśnie takim krokiem.