Мониторинг Certificate Transparency: почему он должен быть в вашем арсенале безопасности
Невидимая поверхность атаки, о которой вы не знали
Каждый раз, когда удостоверяющий центр выдаёт TLS-сертификат для вашего домена, информация об этом становится публичной. Это не баг — это задумка под названием Certificate Transparency. Но вот что не даёт покоя специалистам по безопасности: получить сертификат на ваш домен может кто угодно. И если недобросовестный или скомпрометированный центр сделает это, вы можете узнать об этом слишком поздно.
Certificate Transparency создавалась именно для решения проблемы видимости. Публично доверенные центры обязаны отправлять все выданные сертификаты в публичные логи CT. Так формируется след, по которому можно проверить, кто и когда выпускал сертификаты. Вопрос не в том, существуют ли эти логи — вопрос в том, следите ли вы за ними.
Что показывает поиск по логам Certificate Transparency
Когда вы ищете в логах CT, вы видите не только свои собственные сертификаты. Перед вами полная картина происходящего.
Точное совпадение DNS SAN находит сертификаты с идентичным именем хоста, включая буквальные wildcard-сертификаты вроде *.example.com. Это базовая проверка — запрашивали ли мы этот сертификат?
Покрытие DNS хоста вылавливает сертификаты, которые охватывают ваш домен напрямую, включая родительские wildcard-домены. Так можно выявить, получил ли кто-то wildcard-сертификат, к которому не должен иметь доступ.
Хост и поддомены DNS копает глубже и показывает сертификаты, выданные на имена в иерархии вашего домена. Если кто-то тихо получает сертификаты на api.example.com, staging.example.com или другие поддомены — здесь их видно.
Скорость имеет значение: новые сертификаты появляются за минуты
Публично доверенные TLS-сертификаты обычно попадают в логи CT в течение 10 минут после выпуска. Это не ночной пакетный процесс — всё происходит почти в реальном времени. Для задач безопасности эта скорость критична. Злоумышленник, пытающийся получить сертификат для фишинга или атаки «человек посередине», имеет узкое окно до того, как его обнаружат.
Именно поэтому непрерывный мониторинг эффективнее периодических проверок. Ваш домен могут зарегистрировать сегодня, а сертификат выпустить завтра — и еженедельная проверка его просто пропустит.
Предсертификаты и финальные сертификаты: почему нужна дедупликация
Логи CT хранят не только готовые сертификаты — там могут быть и предсертификаты. Предсертификат — это временный артефакт, который некоторые центры отправляют перед выдачей настоящего сертификата. Один логический сертификат может появиться в логах дважды в разных бинарных представлениях.
Современные инструменты поиска решают это дедупликацией с помощью хитрой техники: сравнивается хеш SHA-256 данных TBS-no-CT вместе с хешем SHA-256 открытого ключа эмитента. «TBS-no-CT» — это данные сертификата «to-be-signed» после удаления расширений Certificate Transparency. Благодаря этому предсертификаты и их финальные версии сопоставляются, и вы получаете один чистый результат на каждый реальный сертификат вместо запутывающих дубликатов.
Практическое применение для разработчиков и команд безопасности
Для разработчиков: интегрируйте мониторинг CT в скрипты создания инфраструктуры. При развёртывании новых окружений автоматически проверяйте, что в логах CT появляются только ожидаемые сертификаты для этих доменов.
Для команд безопасности: логи CT бесценны для threat intelligence. Фишинговые кампании часто используют сертификаты, которые выглядят легитимно. Мониторинг логов на опечаточные домены (вроде examp1e.com вместо example.com) помогает обнаружить попытки подделки бренда.
Для стартапов: если вы работаете в конкурентной среде, CT-мониторинг может предупредить о подозрительной выдаче сертификатов, которая может указывать на таргетирование или разведывательную активность.
За пределами мониторинга: управление жизненным циклом сертификатов
Поиск по CT — лишь часть надёжной стратегии управления сертификатами. Когда вы знаете, какие сертификаты существуют для ваших доменов, нужно отслеживать сроки их действия, окна для продления и обеспечивать правильное управление ключами. Сбои из-за истечения сертификатов приводят к реальным простоям — и происходят они чаще, чем кто-то готов признать.
Современные платформы мониторинга вроде CertObserver агрегируют данные CT, отслеживают риски истечения и оповещают заранее. Это превращает Certificate Transparency из пассивного лога в активный элемент защиты.
Итог
Certificate Transparency даёт вам видимость выдачи сертификатов, которая раньше была невозможна. Управляете ли вы парой проектов в одиночку или защищаете тысячи доменов в enterprise-команде — CT-мониторинг должен быть в вашем арсенале безопасности.
Хорошая новость? Данные публичны, поиск быстр, а инструменты развиваются стремительно. Нет оправданий тому, чтобы не знать, кто и когда выпускает сертификаты на ваши домены.
Начните мониторить свой сертификатный след сегодня. Будущий вы скажет спасибо, когда не придётся разбираться, почему пользователи не могут подключиться из-за просроченного сертификата, о котором никто не знал.
В NameOcean мы помогаем разработчикам и стартапам защитить инфраструктуру с помощью интегрированного SSL-менеджмента и инструментов безопасности доменов. Потому что понимать, что происходит с вашими сертификатами, не должно требовать PhD по безопасности.