Proč byste měli sledovat certifikáty – a proč to dělat hned
Neviditelný útokový vektor, o kterém nevíte
Kdykoli certifikační autorita (CA) vydá TLS certifikát pro vaši doménu, okamžitě se stane veřejně viditelným. Není to chyba — je to záměr. Jde o takzvaný Certificate Transparency (CT). Ale tady je ta věc, která nedá spát bezpečnostním profesionálům: kdokoli může požádat o certifikát pro vaši doménu. A pokud to udělá kompromitovaná nebo nedůvěryhodná CA, pravděpodobně se o tom nedozvíte, dokud nebude pozdě.
Certificate Transparency vznikl právě proto, aby vyřešil tento problém s viditelností. Veřejně důvěryhodné CA jsou povinny odesílat všechny vydané certifikáty do veřejných CT logů. Vzniká tak auditovatelná stopa. Otázka tedy není, zda tyto logy existují — ale zda je aktivně sledujete.
Co vlastně CT vyhledávání ukazuje
Když prozkoumáváte CT logy, nehledáte jen certifikáty, které jste si sami nechali vydat. Vidíte úplný obrázek:
DNS SAN s přesnou shodou najde certifikáty se shodným hostname, včetně doslovných wildcardů jako *.example.com. Tohle je váš základní test — opravdu jsme o tento certifikát žádali my?
Pokrytí DNS hostitele odhalí certifikáty pokrývající vaši doménu přímo, včetně rodičovských wildcard domén. Pomůže to najít případy, kdy někdo získal wildcard certifikát, ke kterému neměl mít přístup.
DNS hostitel a subdomény jde ještě hlouběji. Zobrazí certifikáty vydané pro názvy pod vaším hostitelem. Pokud někdo tiše získává certifikáty pro api.example.com, staging.example.com nebo další subdomény, tady je odhalíte.
Rychlost je klíčová: nové certifikáty se objevují během minut
Veřejně důvěryhodné TLS certifikáty se v CT logech typicky objevuj do 10 minut od vydání. Nejde o žádný noční batch proces — je to téměř okamžité. Pro bezpečnostní monitoring je tato rychlost zásadní. Útočník se pokoušející získat certifikát pro phishing nebo MITM útok má velmi úzké okno, než ho lze odhalit.
Proto je kontinuální monitoring lepší než periodické kontroly. Vaše doména může být zaregistrována dnes a certifikát vydán zítra — týdenní audit by ho mohl zcela minout.
Pre-certifikáty versus finální certifikáty: proč je deduplikace důležitá
CT logy neukládají jen finální certifikáty — obsahují také pre-certifikáty. Pre-certifikát je dočasný artefakt, který některé CA odesílají před vydáním skutečného certifikátu. Stejný logický certifikát se tak může v CT logech objevit dvakrát, každý v jiné binární podobě.
Moderní nástroje pro CT vyhledávání tento problém řeší chytrou deduplikací: porovnávají TBS-no-CT SHA-256 hash společně s Issuer SPKI SHA-256 hashem. Část "TBS-no-CT" označuje data certifikátu určená k podpisu po odstranění Certificate Transparency rozšíření. Díky tomu se pre-certifikáty a jejich odpovídající finální certifikáty spárují a vy dostanete jeden čistý výsledek na skutečný certifikát místo matoucích duplikátů.
Praktické využití pro vývojáře a bezpečnostní týmy
Pro vývojáře: Začleňte CT monitoring do svých skriptů pro provisioning infrastruktury. Když stavíte nové prostředí, automaticky ověřte, že se v CT logech pro tyto domény objevují pouze očekávané certifikáty.
Pro bezpečnostní týmy: CT logy jsou neocenitelné pro threat intelligence. Phishingové kampaně často používají certifikáty, které vypadají legitimně. Monitorování CT logů na typosquatting domény (jako examp1e.com místo example.com) může odhalit pokusy o napodobování značky.
Pro startupy: Pokud působíte v konkurenčním prostředí, CT monitoring vás může upozornit na potenciálně podezřelé vydávání certifikátů, které by mohlo znamenat cílení nebo průzkum.
##eyond Monitoring: správa životního cyklu certifikátů
CT vyhledávání je jen jedním dílem skládačky robustní strategie správy certifikátů. Jakmile víte, jaké certifikáty pro vaše domény existují, potřebujete sledovat jejich datum vypršení, okna pro obnovení a zajistit správnou správu klíčů. Výpadky způsobené expirovanými certifikáty jsou reálné produkční problémy — a děje se to častěji, než kdokoli přiznává.
Moderní platformy pro monitoring certifikátů, jako je CertObserver, agregují CT data, sledují riziko expirace a poskytují upozornění dříve, než certifikáty vyprší. Transformuje to Certificate Transparency z pasivního logu v aktivní bezpečnostní kontrolu.
Závěr
Certificate Transparency vám dává přehled o vydávání certifikátů, který dříve nebyl možný. Ať už jste sólový vývojář spravující pár projektů, nebo bezpečnostní tým chránící tisíce domén — CT monitoring by měl být součástí vaší bezpečnostní výbavy.
Dobrá zpráva? Data jsou veřejně dostupná, vyhledávání je rychlé a nástroje se rychle zlepšují. Žádné výmluvy pro létání naslepo ohledně vydávání certifikátů.
Začněte dnes monitorovat svou certifikátovou stopu. Vaše budoucí já vám poděkuje, až nebudete muset zjišťovat, proč se uživatelé nemohou připojit kvůli expirovanému certifikátu, o kterém nikdo nevěděl.
U NameOcean pomáháme vývojářům a startupům zabezpečit jejich infrastrukturu pomocí integrované správy SSL a bezpečnostních nástrojů pro domény. Protože vědět, co se děje s vašimi certifikáty, by nemělo vyžadovat doktorát z bezpečnosti.