Certificate Transparency
Was ist Certificate Transparency?
Certificate TransparencyOekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt.
Certificate Transparency (CT) verpflichtet oeffentliche CAs, jedes ausgestellte TLS-Zertifikat an einen oder mehrere Append-only-Merkle-Tree-Logs zu uebergeben und einen Signed Certificate Timestamp zurueckzubekommen, den der Browser verifiziert. Die Logs sind ueber Dienste wie crt.sh, Censys, Cert Spotter oder Googles CT-Viewer oeffentlich durchsuchbar. Verteidiger nutzen CT, um Shadow-IT-Subdomains zu finden, Look-alike-Phishing-Zertifikate zu erkennen, unautorisierte Ausstellungen zu ueberwachen und in Investigationen zu pivotieren. Threat Hunter beobachten CT-Feeds in nahezu Echtzeit und sind damit oft schneller als Passive DNS oder WHOIS.
● Beispiele
- 01
Alarm, sobald crt.sh ein neues Zertifikat fuer login-deinunternehmen-support.com zeigt.
- 02
Inventarisierung saemtlicher Subdomains, fuer die eine CA Zertifikate ausgestellt hat – inklusive vergessener Eintraege.
● Häufige Fragen
Was ist Certificate Transparency?
Oekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet Certificate Transparency?
Oekosystem oeffentlicher Append-only-Logs fuer TLS-Zertifikate, definiert in RFC 6962 und 9162, das jedem die Pruefung existierender Zertifikate erlaubt.
Wie funktioniert Certificate Transparency?
Certificate Transparency (CT) verpflichtet oeffentliche CAs, jedes ausgestellte TLS-Zertifikat an einen oder mehrere Append-only-Merkle-Tree-Logs zu uebergeben und einen Signed Certificate Timestamp zurueckzubekommen, den der Browser verifiziert. Die Logs sind ueber Dienste wie crt.sh, Censys, Cert Spotter oder Googles CT-Viewer oeffentlich durchsuchbar. Verteidiger nutzen CT, um Shadow-IT-Subdomains zu finden, Look-alike-Phishing-Zertifikate zu erkennen, unautorisierte Ausstellungen zu ueberwachen und in Investigationen zu pivotieren. Threat Hunter beobachten CT-Feeds in nahezu Echtzeit und sind damit oft schneller als Passive DNS oder WHOIS.
Wie schützt man sich gegen Certificate Transparency?
Schutzmaßnahmen gegen Certificate Transparency kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Certificate Transparency?
Übliche alternative Bezeichnungen: CT-Logs, CT.
● Verwandte Begriffe
- network-security№ 1090
SSL (Secure Sockets Layer)
Der historische Vorläufer von TLS, ursprünglich von Netscape in den 1990ern entwickelt, um Webverkehr zu verschlüsseln, heute formal abgekündigt.
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 156
Zertifizierungsstelle (CA)
Vertrauenswürdige Instanz, die digitale Zertifikate ausstellt und signiert und damit kryptografische öffentliche Schlüssel mit geprüften Identitäten wie Domains oder Organisationen verknüpft.
- defense-ops№ 792
Passive DNS
Historische Datenbank beobachteter DNS-Aufloesungen, mit der Ermittler nachvollziehen koennen, auf welche IPs eine Domain im Lauf der Zeit zeigte.
- defense-ops№ 1236
WHOIS-Abfrage
Abfrage gegen die WHOIS- oder RDAP-Datenbank, die Registrierungsdaten einer Domain oder IP liefert: Registrar, Registrant, Daten und Nameserver.
● Siehe auch
- № 154Censys