Hvorfor du bør overvåke Certificate Transparency-loggen (og hvorfor mange overser det)

Hvorfor du bør overvåke Certificate Transparency-loggen (og hvorfor mange overser det)

Jul 09, 2026 certificate-transparency tls-ssl security certificate-management dns-security web-security devops monitoring

Angrepsoverflaten du ikke visste at du hadde

Hver gang en Certificate Authority (CA) utsteder et TLS-sertifikat for ditt domene, blir det offentlig synlig. Dette er ingen feil – det er en funksjon som heter Certificate Transparency (CT). Men her er det som holder sikkerhetsfolk våkne om natten: hvem som helst kan be om et sertifikat for ditt domene, og hvis en kompromittert CA gjør akkurat det, kan du gå glipp av det til det er for sent.

Certificate Transparency ble designet for å løse dette synlighetsproblemet. Offentlig betrodde CA-er er pålagt å sende alle utstedte sertifikater til offentlige CT-logger. Dette skaper en sporbare papirspor for sertifikautstedelse. Spørsmålet er ikke om CT-logger eksisterer – det er om du aktivt overvåker dem.

Hva Certificate Transparency-søk faktisk viser deg

Når du søker i CT-logger, ser du ikke bare sertifikater du selv har utstedt. Du får det komplette bildet:

DNS SAN (eksakt samsvar) finner sertifikater med identisk vertsnavnstreff, inkludert literale wildcard som *.example.com. Dette er din grunnleggende sjekk – ba vi faktisk om dette sertifikatet?

DNS-vertsdekning fanger opp sertifikater som dekker ditt domene direkte, inkludert wildcard overordnede domener. Dette hjelper deg å identifisere om noen har skaffet seg et wildcard-sertifikat de ikke burde ha tilgang til.

DNS-vert og subdomener graver dypere, og viser sertifikater utstedt for navn under din vert. Hvis noen stille har anskaffet sertifikater for api.example.com, staging.example.com, eller andre subdomener, vil du oppdage dem her.

Hastighet er viktig: Nye sertifikater dukker opp på minutter

Offentlig betrodde TLS-sertifikater dukker vanligvis opp i CT-logger innen 10 minutter etter utstedelse. Dette er ingen batchprosess som kjører over natten – det skjer nesten i sanntid. For sikkerhetsovervåking er denne hastigheten avgjørende. En ondsinnet aktør som prøver å skaffe et sertifikat for phishing eller man-in-the-middle-angrep har et smalt vindu før detektering blir mulig.

Dette er nettopp hvorfor kontinuerlig overvåking slår periodiske sjekk. Ditt domene kan bli registrert i dag med et sertifikat utstedt i morgen, og en ukentlig gjennomgang kan gå glipp av det fullstendig.

Pre-sertifikater vs. slutt-sertifikater: Hvorfor deduplisering betyr noe

CT-logger lagrer ikke bare ferdige sertifikater – de kan også inneholde pre-sertifikater. Et pre-sertifikat er et midlertidig artefakt som noen CA-er sender inn før de utsteder det faktiske sertifikatet. Det samme logiske sertifikatet kan dukke opp to ganger i CT-logger med forskjellige binære representasjoner.

Moderne CT-søkeverktøy håndterer dette ved å deduplisere resultater ved hjelp av en smart teknikk: sammenligning av TBS-no-CT SHA-256 hash kombinert med Issuer SPKI SHA-256 hash. "TBS-no-CT"-delen refererer til sertifikatets to-be-signed data etter at Certificate Transparency-utvidelser er fjernet. Dette lar pre-sertifikater og deres tilsvarende slutt-sertifikater matche, og gir deg ett rent resultat per ekte sertifikat i stedet for forvirrende duplikater.

Praktiske anvendelser for utviklere og sikkerhetsteam

For utviklere: Integrer CT-overvåking i infrastruktur-provisjoneringsskriptene dine. Når du spinner opp nye miljøer, verifiser automatisk at bare dine forventede sertifikater dukker opp i CT-logger for de domenene.

For sikkerhetsteam: CT-logger er uvurderlige for trusseletterretning. Phishing-kampanjer bruker ofte sertifikater som ser legitime ut. Overvåking av CT-logger for typosquatting-domener (som examp1e.com i stedet for example.com) kan avdekke merkeimpersonasjonsforsøk.

For startups: Hvis du opererer i et konkurransepreget felt, kan CT-overvåking varsle deg om potensielt mistenkelig sertifikatutstedelse som kan indikere targeting eller rekognoseringsaktivitet.

Utover overvåking: Sertifikats livssyklushåndtering

CT-søk er bare en brikke i en robust sertifikatstrategi. Når du vet hvilke sertifikater som eksisterer for domenene dine, må du spore utløpsdatoer, fornyelsesvinduer og sikre riktig nøkkeladministrasjon. Sertifikats utløp forårsaker virkelige produksjonsutfall – og det skjer oftere enn noen innrømmer.

Moderne sertifikatovervåkingsplattformer som CertObserver aggregerer CT-data, sporer fornyelsesrisiko og gir varsler før sertifikater utløper. Dette transformerer Certificate Transparency fra en passiv logg til en aktiv sikkerhetskontroll.

Konklusjonen

Certificate Transparency gir deg innsyn i sertifikatutstedelse som tidligere var umulig. Enten du er en solo-utvikler som håndterer en håndfull prosjekter eller et bedriftssikkerhetsteam som beskytter tusenvis av domener, bør CT-overvåking være en del av sikkerhetsverktøykassen din.

Den gode nyheten? Dataene er offentlig tilgjengelige, søk er raske, og verktøyene forbedres raskt. Ingen unnskyldning for å fly blind på sertifikatutstedelse lenger.

Start overvåking av ditt sertifikatavtrykk i dag. Ditt fremtidige jeg vil sette pris på det når du ikke trenger å feilsøke hvorfor brukerne dine ikke kan koble til på grunn av et utløpt sertifikat ingen visste eksisterte.


Hos NameOcean hjelper vi utviklere og startups med å sikre infrastrukturen sin med integrert SSL-administrasjon og domener sikkerhetsverktøy. Fordi å vite hva som skjer med sertifikatene dine skal ikke kreve en sikkerhets-PhD.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NL HU IT FR ES DE DA ZH-HANS EN