Håll koll på dina certifikat – varför Certificate Transparency-övervakning hör hemma i din säkerhetsstrategi

Håll koll på dina certifikat – varför Certificate Transparency-övervakning hör hemma i din säkerhetsstrategi

Jul 09, 2026 certificate-transparency tls-ssl security certificate-management dns-security web-security devops monitoring

Den osynliga attackytan du inte visste att du hade

Varje gång en Certificate Authority (CA) utfärdar ett TLS-certifikat för din domän blir det offentligt synligt. Det här är inte en bugg – det är en funktion som kallas Certificate Transparency (CT). Men här är vad som håller säkerhetsproffs vakna om natten: vem som helst kan begära ett certifikat för din domän, och om en komprometterad CA gör just det kanske du aldrig får veta om det – förrän det är för sent.

Certificate Transparency skapades för att lösa det här problemet med bristande insyn. Publika, betrodda CA:er måste enligt regelverket skicka in alla utfärdade certifikat till offentliga CT-loggar. Det skapar en spårbar pappersväg för certifikatsutgivning. Frågan är alltså inte om CT-loggar finns – det är om du aktivt bevakar dem.

Vad Certificate Transparency-sökning faktiskt visar dig

När du söker i CT-loggar letar du inte bara efter certifikat som du själv har begärt. Du får helhetsbilden:

DNS SAN (exakt matchning) hittar certifikat med identiska värdnamn, inklusive bokstavliga wildcard som *.example.com. Det här är din grundkontroll – har vi faktiskt begärt det här certifikatet?

DNS-värdtäckning fångar certifikat som täcker din domän direkt, inklusive wildcard-föräldra-domäner. Det här hjälper dig identifiera om någon har skaffat ett wildcard-certifikat de inte borde ha tillgång till.

DNS-värd och subdomäner gräver djupare och visar certifikat som utfärdats för namn under din värd. Om någon sakta har skaffat certifikat för api.example.com, staging.example.com eller andra subdomäner, kommer du att upptäcka det här.

Hastighet spelar roll: Nya certifikat dyker upp inom minuter

Publika betrodda TLS-certifikat visas vanligtvis i CT-loggar inom 10 minuter efter utfärdande. Det här är inte en batchprocess som körs över natten – det sker nästan i realtid. För säkerhetsövervakning är den här hastigheten avgörande. En illvillig aktör som försöker skaffa ett certifikat för phishing eller man-in-the-middle-attacker har ett begränsat fönster innan upptäckt blir möjlig.

Det är precis därför kontinuerlig övervakning slår periodiska kontroller. Din domän kan registreras idag med ett certifikat utfärdat imorgon, och en veckovis granskning kan helt missa det.

Pre-certifikat kontra slutgiltiga certifikat: Varför deduplicering spelar roll

CT-loggar lagrar inte bara slutgiltiga certifikat – de kan även innehålla pre-certifikat. Ett pre-certifikat är en tillfällig artefakt som vissa CA:er skickar in innan det faktiska certifikatet utfärdas. Samma logiska certifikat kan därför dyka upp två gånger i CT-loggar med olika binära representationer.

Moderna CT-sökningsverktyg hanterar detta genom att deduplicera resultat med en smart teknik: de jämför TBS-no-CT SHA-256-hash kombinerat med Issuer SPKI SHA-256-hash. "TBS-no-CT"-delen refererar till certifikatets to-be-signed-data efter att Certificate Transparency-tilläggen tagits bort. Detta gör att pre-certifikat och deras motsvarande slutgiltiga certifikat kan matchas, vilket ger dig ett rent resultat per riktigt certifikat istället för förvirrande dubbletter.

Praktiska tillämpningar för utvecklare och säkerhetsteam

För utvecklare: Integrera CT-övervakning i dina skript för infrastrukturprovisionering. När du skapar nya miljöer, verifiera automatiskt att endast dina förväntade certifikat visas i CT-loggar för de domänerna.

För säkerhetsteam: CT-loggar är ovärderliga för hotunderrättelse. Phishing-kampanjer använder ofta certifikat som ser legitima ut. Att övervaka CT-loggar efter typosquatting-domäner (som examp1e.com istället för example.com) kan avslöja försök att utge sig för att vara ditt varumärke.

För startups: Om du verkar i en konkurrensutsatt bransch kan CT-övervakning varna dig för potentiellt misstänkt certifikatsutgivning som kan tyda på riktad verksamhet eller rekognosering.

Bortom övervakning: Hantering av certifikatlivscykel

CT-sökning är bara en del av en robust certifikathanteringsstrategi. När du väl vet vilka certifikat som finns för dina domäner behöver du hålla koll på deras utgångsdatum, förnyelsefönster och säkerställa korrekt nyckelhantering. Certifikatsutgångar orsakar verkliga produktionsavbrott – och de händer oftare än någon erkänner.

Moderna plattformar för certifikatövervakning som CertObserver samlar CT-data, spårar förnyelserisk och ger larm innan certifikat går ut. Det här omvandlar Certificate Transparency från en passiv logg till en aktiv säkerhetskontroll.

Sammanfattning

Certificate Transparency ger dig insyn i certifikatsutgivning som tidigare var omöjlig. Oavsett om du är en ensam utvecklare som hanterar ett fåtal projekt eller ett företagssäkerhetsteam som skyddar tusentals domäner, bör CT-övervakning vara en del av din säkerhetsverktygslåda.

De goda nyheterna? Data finns tillgänglig offentligt, sökningar är snabba och verktygen förbättras snabbt. Inga ursäkter för att flyga blind längre.

Börja övervaka ditt certifikatafvtryck idag. Ditt framtida jag kommer att tacka dig när du slipper felsöka varför dina användare inte kan ansluta på grund av ett utgånget certifikat som ingen visste existerade.


Vi på NameOcean hjälper utvecklare och startups att säkra sin infrastruktur med integrerad SSL-hantering och domänsäkerhetsverktyg. För att veta vad som händer med dina certifikat borde inte kräva en säkerhetsdoktorsexamen.

Read in other languages:

RU BG EL CS UZ TR FI RO PT PL NB NL HU IT FR ES DE DA ZH-HANS EN