CT-monitoring: de missing link in je beveiligingsstack

CT-monitoring: de missing link in je beveiligingsstack

Jul 09, 2026 certificate-transparency tls-ssl security certificate-management dns-security web-security devops monitoring

Het onzichtbare attack surface waar je niet wist dat je had

Elke keer dat een Certificate Authority een TLS-certificaat voor je domein uitgeeft, wordt dat openbaar. Dit is geen bug—het is een feature, beter bekend als Certificate Transparency. Maar hier wordt menig security professional wakker van: iedereen kan een certificaat voor je domein aanvragen, en als een kwaadwillende of gecompromitteerde CA precies dat doet, kom je er misschien pas achter als het te laat is.

Certificate Transparency is ontworpen om dit zichtbaarheidsprobleem op te lossen. Openbaar vertrouwde CA's zijn verplicht om alle uitgegeven certificaten naar publieke CT logs te sturen. Daarmee ontstaat een controleerbaar papiertrail van certificaatuitgifte. De vraag is niet of CT logs bestaan—het gaat erom of je ze actief in de gaten houdt.

Wat Certificate Transparency search je laat zien

Wanneer je CT logs doorzoekt, zie je niet alleen de certificaten die je zelf hebt aangevraagd. Je krijgt het complete plaatje:

DNS SAN (exact match) vindt certificaten met een identieke hostnaam, inclusief letterlijke wildcards zoals *.example.com. Dit is je basiscontrole—was dit certificaat daadwerkelijk door ons aangevraagd?

DNS host coverage pakt certificaten die je domein direct dekken, inclusief wildcard parent-domeinen. Hiermee signaleer je of iemand een wildcard-certificaat heeft bemachtigd waar hij geen toegang toe zou moeten hebben.

DNS host and subdomains gaat dieper en toont certificaten die zijn uitgegeven voor namen onder je host. Heeft iemand stilzwijgend certificaten binnengesleept voor api.example.com, staging.example.com of andere subdomeinen? Dan spot je ze hier.

Snelheid is cruciaal: nieuwe certificaten verschijnen binnen minuten

Openbaar vertrouwde TLS-certificaten duiken doorgaans binnen 10 minuten na uitgifte op in CT logs. Dit is geen nachtelijke batchjob—het gebeurt vrijwel real-time. Voor security monitoring is die snelheid essentieel. Een kwaadwillende actor die een certificaat wil bemachtigen voor phishing of man-in-the-middle aanvallen heeft maar een smal tijdswindow voordat detectie mogelijk wordt.

Daarom werkt continuous monitoring een stuk beter dan periodieke checks. Je domein kan vandaag worden geregistreerd met een certificaat dat morgen wordt uitgegeven, en een wekelijkse audit mist het misschien volledig.

Pre-certificates versus final certificates: waarom deduplicatie belangrijk is

CT logs bewaren niet alleen definitieve certificaten—ze kunnen ook pre-certificates bevatten. Een pre-certificate is een tijdelijk artefact dat sommige CA's indienen voordat ze het echte certificaat uitgeven. Hetzelfde logische certificaat kan daardoor twee keer in CT logs verschijnen, met verschillende binaire representaties.

Moderne CT search tools tackelen dit door resultaten te dedupliceren met een slimme techniek: ze vergelijken de TBS-no-CT SHA-256 hash gecombineerd met de Issuer SPKI SHA-256 hash. Het "TBS-no-CT" deel verwijst naar de to-be-signed data van het certificaat, nadat de Certificate Transparency extensies zijn verwijderd. Zo worden pre-certificates en hun bijbehorende definitieve certificaten aan elkaar gekoppeld, met één net resultaat per echt certificaat in plaats van verwarrende duplicaten.

Praktische toepassingen voor developers en security teams

Voor developers: Integreer CT monitoring in je infrastructuur provisioning scripts. Bij het opzetten van nieuwe omgevingen kun je automatisch verifiëren dat alleen de verwachte certificaten in CT logs verschijnen voor die domeinen.

Voor security teams: CT logs zijn goud waard voor threat intelligence. Phishingcampagnes gebruiken vaak certificaten die er legitiem uitzien. Door CT logs te monitoren op typosquatting-domeinen (zoals examp1e.com in plaats van example.com) kun je merkimitatie opsporen.

Voor startups: Als je in een competitieve markt actief bent, kan CT monitoring je waarschuwen voor verdachte certificaatuitgifte die wijst op targeting of verkeningsactiviteit.

Verder dan monitoring: Certificate Lifecycle Management

CT search is maar één puzzelstukje van een robuuste certificaatmanagementstrategie. Zodra je weet welke certificaten er voor je domeinen bestaan, moet je hun vervaldatums bijhouden, renewalfasen managen en zorgen voor correct key management. Verlopen certificaten veroorzaken echte productie-uitval—en het gebeurt vaker dan iemand toegeeft.

Moderne certificaatmonitoringplatforms zoals CertObserver aggregeren CT-data, volgen renewalrisico's en sturen alerts voordat certificaten verlopen. Dit transformeert Certificate Transparency van een passieve log naar een actieve security control.

De bottom line

Certificate Transparency geeft je zichtbaarheid in certificaatuitgifte die voorheen onmogelijk was. Of je nu een solo developer bent die een handvol projecten beheert of een enterprise security team dat duizenden domeinen beschermt—CT monitoring hoort in je security toolkit.

Het goede nieuws? De data is publiekelijk beschikbaar, searches zijn snel en de tools worden snel beter. Geen excuses meer om blind te vliegen op certificaatuitgifte.

Begin vandaag met het monitoren van je certificaat-footprint. Je toekomstige zelf zal je dankbaar zijn wanneer je niet hoeft te debuggen waarom gebruikers geen verbinding kunnen maken door een verlopen certificaat waar niemand vanaf wist.


NameOcean helpt developers en startups bij het beveiligen van hun infrastructuur met geïntegreerd SSL-beheer en domeinbeveiligingstools. Omdat weten wat er met je certificaten gebeurt geen security PhD zou moeten vereisen.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB HU IT FR ES DE DA ZH-HANS EN