Sikkerhedshuller? Sådan fanger Certificate Transparency dem, du misser

Sikkerhedshuller? Sådan fanger Certificate Transparency dem, du misser

Jul 05, 2026 certificate-transparency tls-ssl security certificate-management dns-security web-security devops monitoring

Den usynlige angrebsoverflade du ikke vidste, du havde

Hver gang en Certificate Authority udsteder et TLS-certifikat til dit domain, bliver det offentligt tilgængeligt. Det er ikke en fejl – det er en funktion. Den hedder Certificate Transparency. Men det, der holder sikkerhedsfolk vågne om natten, er dette: hvem som helst kan anmode om et certifikat til dit domain. Og hvis en kompromitteret CA gør præcis det, opdager du det måske først, når skaden er sket.

Certificate Transparency blev designet til at løse dette synlighedsproblem. Offentligt betroede CA'er er forpligtet til at indsende alle udstedte certifikater til offentlige CT-logs. Det skaber en reviderbar papiertkæde for certifikatudstedelse. Spørgsmålet er ikke, om CT-logs eksisterer – det er, om du aktivt holder øje med dem.

Hvad Certificate Transparency-søgning faktisk viser dig

Når du søger i CT-logs, kigger du ikke kun efter certifikater, du selv har bestilt. Du får det fulde overblik:

DNS SAN (eksakt match) finder certifikater med identiske værtsnavne, inklusive literale wildcards som *.example.com. Det er din basiskontrol – har vi rent faktisk anmodet om dette certifikat?

DNS-værtsdækning fanger certifikater, der dækker dit domain direkte, herunder wildcard-overordnede domains. Det hjælper med at identificere, hvis nogen har skaffet sig et wildcard-certifikat, de ikke burde have adgang til.

DNS-vært og underdomæner graver dybere og viser certifikater udstedt for navne under din vært. Hvis nogen stille og roligt har anskaffet certifikater til api.example.com, staging.example.com eller andre underdomæner, får du øje på dem her.

Hastighed betyder noget: Nye certifikater dukker op inden for minutter

Offentligt betroede TLS-certifikater viser sig typisk i CT-logs inden for 10 minutter efter udstedelse. Det er ikke en natlig batchproces – det sker næsten i realtid. For sikkerhedsovervågning er denne hastighed afgørende. En ond aktør, der forsøger at få et certifikat til phishing eller man-in-the-middle-angreb, har et snævert vindue, før det bliver muligt at opdage.

Derfor slår kontinuerlig overvågning periodiske checks. Dit domain kunne blive registreret i dag med et certifikat udstedt i morgen, og en ugentlig audit kunne overse det fuldstændigt.

Pre-certifikater vs. endelige certifikater: Hvorfor deduplikering betyder noget

CT-logs gemmer ikke kun endelige certifikater – de kan også indeholde pre-certifikater. Et pre-certifikat er et midlertidigt artefakt, som nogle CA'er indsender, før det egentlige certifikat udstedes. Det samme logiske certifikat kan dukke op to gange i CT-logs med forskellige binære repræsentationer.

Moderne CT-søgeværktøjer håndterer dette ved at deduplikere resultater med en smart teknik: sammenligning af TBS-no-CT SHA-256 hash kombineret med Issuer SPKI SHA-256 hash. "TBS-no-CT" refererer til certifikatets data, der skal signeres, efter Certificate Transparency-udvidelser er fjernet. Det gør det muligt for pre-certifikater og deres tilsvarende endelige certifikater at matche, så du får ét rent resultat per rigtigt certifikat i stedet for forvirrende dubletter.

Praktiske anvendelser for udviklere og sikkerhedsteams

For udviklere: Integrer CT-overvågning i dine infrastrukturprovisioneringsscripts. Når du sætter nye miljøer op, skal du automatisk verificere, at kun dine forventede certifikater viser sig i CT-logs for de pågældende domains.

For sikkerhedsteams: CT-logs er uvurderlige til threat intelligence. Phishing-kampagner bruger ofte certifikater, der lader legitime. Overvågning af CT-logs for typosquatting-domains (som examp1e.com i stedet for example.com) kan afsløre forsøg på brandmisbrug.

For startups: Hvis du opererer i et konkurrencepræget felt, kan CT-overvågning advare dig om potentielt mistænkelig certifikatudstedelse, der kan indikere målretning eller rekognosceringsaktivitet.

Ud over overvågning: Certifikatlivscyklusstyring

CT-søgning er kun én brik i en robust certifikatstyringsstrategi. Når du ved, hvilke certifikater der eksisterer for dine domains, skal du holde styr på deres udløbsdatoer, fornyelsesvinduer og sikre korrekt nøglestyring. Certifikatudløbsfejl forårsager virkelige produktionsnedbrud – og de sker oftere, end nogen indrømmer.

Moderne certifikatovervågningsplatforme som CertObserver samler CT-data, sporer fornyelsesrisiko og giver alarmer, før certifikater udløber. Det transformerer Certificate Transparency fra en passiv log til en aktiv sikkerhedskontrol.

Konklusionen

Certificate Transparency giver dig indsigt i certifikatudstedelse, som tidligere var umulig. Uanset om du er en solo-udvikler, der håndterer en håndfuld projekter, eller et virksomhedssikkerhedsteam, der beskytter tusindvis af domains, bør CT-overvågning være en del af dit sikkerhedsværktøjskasse.

De gode nyheder? Dataene er offentligt tilgængelige, søgninger er hurtige, og værktøjerne bliver bedre hele tiden. Ingen undskyldninger for at flyve blind på certifikatudstedelse længere.

Start med at overvåge dit certifikataftryk i dag. Din fremtidige jeg vil takke dig, når du ikke sidder og fejlfinder, hvorfor dine brugere ikke kan oprette forbindelse på grund af et udløbet certifikat, ingen vidste eksisterede.


  • Hos NameOcean hjælper vi udviklere og startups med at sikre deres infrastruktur med integreret SSL-styring og domain-sikkerhedsværktøjer. For du skal ikke have en sikkerheds-PhD for at vide, hvad der sker med dine certifikater.*

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL HU IT FR ES DE ZH-HANS EN