对于私自签的证书，自己应该管理严格，对于公开证书，我觉得可以去证书透明日志里做监控，接流量+探测太重了，当你知道你管理的出入口有好几个 G 流量的时候，你就知道监控要多少的算力了。

@qwx 透明日志也不错，不过几个 G 的话 NTM 普通 x86 机器也能应付，或者做流镜像。个人感觉做好 PKI 管理与黑盒检测并不冲突，角色不同顾虑不同，对于权限和管理混乱的环境，黑盒检测确有一定帮助。 期待 HTTP/3 与 ECH 大规模运用，逐步架空上网审计设备（

@guanzhangzhang 你也说了是管理问题，如果按你这些措施下来，到最后一步，收告警的人不去处理，和我说的有区别吗

@guanzhangzhang 哦，我懂你意思了，其实这是个管理问题，不是技术问题。不如搞个各业务线证书自查流程，上报后统一入 CMDB ，遗漏的、出问题的让各业务线自己负责就行了。