Transparencia de certificados
¿Qué es Transparencia de certificados?
Transparencia de certificadosEcosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio.
Certificate Transparency (CT) exige que las CA publicas envien cada certificado TLS emitido a uno o varios logs Merkle append-only, devolviendo un Signed Certificate Timestamp que el navegador puede verificar. Los logs son consultables publicamente con servicios como crt.sh, Censys, Cert Spotter o el visor CT de Google. Los defensores usan CT para descubrir subdominios del shadow IT, detectar certificados de phishing similares, vigilar emisiones no autorizadas y pivotar en investigaciones. Los cazadores de amenazas siguen los flujos CT en busca de certificados nuevos que coincidan con palabras clave de marca o patrones de atacantes, a menudo en minutos, mas rapido que pDNS o WHOIS.
● Ejemplos
- 01
Recibir una alerta cuando crt.sh muestra un certificado nuevo para login-tu-empresa-soporte.com.
- 02
Inventariar todos los subdominios para los que una CA emitio certificados, incluyendo los olvidados.
● Preguntas frecuentes
¿Qué es Transparencia de certificados?
Ecosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa Transparencia de certificados?
Ecosistema de registros publicos append-only de certificados TLS, definido en RFC 6962 y 9162, que permite auditar que certificados existen para cualquier dominio.
¿Cómo funciona Transparencia de certificados?
Certificate Transparency (CT) exige que las CA publicas envien cada certificado TLS emitido a uno o varios logs Merkle append-only, devolviendo un Signed Certificate Timestamp que el navegador puede verificar. Los logs son consultables publicamente con servicios como crt.sh, Censys, Cert Spotter o el visor CT de Google. Los defensores usan CT para descubrir subdominios del shadow IT, detectar certificados de phishing similares, vigilar emisiones no autorizadas y pivotar en investigaciones. Los cazadores de amenazas siguen los flujos CT en busca de certificados nuevos que coincidan con palabras clave de marca o patrones de atacantes, a menudo en minutos, mas rapido que pDNS o WHOIS.
¿Cómo defenderse de Transparencia de certificados?
Las defensas contra Transparencia de certificados combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Transparencia de certificados?
Nombres alternativos comunes: Logs CT, CT.
● Términos relacionados
- network-security№ 1090
SSL (Secure Sockets Layer)
Predecesor histórico de TLS, creado por Netscape en los años 90 para cifrar tráfico web y actualmente formalmente obsoleto.
- network-security№ 1159
TLS (Transport Layer Security)
Protocolo criptográfico estandarizado por el IETF que aporta confidencialidad, integridad y autenticación al tráfico entre dos aplicaciones en red.
- network-security№ 156
Autoridad de certificación (CA)
Entidad de confianza que emite y firma certificados digitales, vinculando claves públicas a identidades verificadas como dominios u organizaciones.
- defense-ops№ 792
DNS pasivo
Base de datos historica de resoluciones DNS observadas que permite consultar a que IPs apunto un dominio y que dominios compartieron una IP a lo largo del tiempo.
- defense-ops№ 1236
Consulta WHOIS
Consulta a la base WHOIS o RDAP que devuelve los datos de registro de un dominio o IP: registrador, registrante, fechas y servidores de nombres.
● Véase también
- № 154Censys