証明書透明性
証明書透明性 とは何ですか?
証明書透明性RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。
Certificate Transparency(CT)は、公的 CA が発行した TLS 証明書をすべて 1 つ以上の Merkle 木による追記専用ログに提出することを求めます。ログから返される Signed Certificate Timestamp はブラウザが検証可能です。ログは crt.sh、Censys、Cert Spotter、Google の CT ビューアなどで公開検索できます。防御側は CT を使ってシャドー IT のサブドメインを洗い出し、似たフィッシング証明書を検知し、不正発行を監視し、調査中のピボットに活用します。スレッドハンターは CT フィードをほぼリアルタイムで監視するため、パッシブ DNS や WHOIS より早く新規証明書を捉えられます。
● 例
- 01
crt.sh に login-yourcompany-support.com の新規証明書が現れたタイミングでアラートを受け取る。
- 02
ある CA が自社向けに発行したすべてのサブドメイン証明書を、忘れられていたものも含めて棚卸しする。
● よくある質問
証明書透明性 とは何ですか?
RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
証明書透明性 とはどういう意味ですか?
RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。
証明書透明性 はどのように機能しますか?
Certificate Transparency(CT)は、公的 CA が発行した TLS 証明書をすべて 1 つ以上の Merkle 木による追記専用ログに提出することを求めます。ログから返される Signed Certificate Timestamp はブラウザが検証可能です。ログは crt.sh、Censys、Cert Spotter、Google の CT ビューアなどで公開検索できます。防御側は CT を使ってシャドー IT のサブドメインを洗い出し、似たフィッシング証明書を検知し、不正発行を監視し、調査中のピボットに活用します。スレッドハンターは CT フィードをほぼリアルタイムで監視するため、パッシブ DNS や WHOIS より早く新規証明書を捉えられます。
証明書透明性 からどのように防御しますか?
証明書透明性 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
証明書透明性 の別名は何ですか?
一般的な別名: CT ログ, CT。
● 関連用語
- network-security№ 1090
SSL(Secure Sockets Layer)
1990 年代に Netscape が開発した、Web 通信を暗号化するための TLS の歴史的前身であり、現在は正式に非推奨とされている。
- network-security№ 1159
TLS(トランスポート層セキュリティ)
IETF が標準化した暗号プロトコルで、ネットワーク上の 2 つのアプリケーション間の通信に機密性・完全性・認証を提供する。
- network-security№ 156
認証局(CA)
公開鍵をドメイン名や組織などの検証済みの身元と結びつけ、デジタル証明書を発行・署名する信頼された機関。
- defense-ops№ 792
パッシブ DNS
観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。
- defense-ops№ 1236
WHOIS 検索
ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。
● 関連項目
- № 154Censys