Posted at: 2018-04-16 10:15:47  Category: tech

CT(Certificate Transparency)とは

CTの仕組みにより、認証局がどのような証明書をこれまでに発行したかという情報は、公開情報となります。CT自体がどういったものであるかについては、下記に分かりやすくまとまっています。

Certificate Transparency
http://www.certificate-transparency.org/

current cryptographic mechanisms aren’t so good at detecting malicious websites if they’re provisioned with mistakenly issued certificates or certificates that have been issued by a certificate authority (CA) that’s been compromised or gone rogue.

Certificate Transparency aims to remedy these certificate-based threats by making the issuance and existence of SSL certificates open to scrutiny by domain owners, CAs, and domain users

危うい認証局から誤って発行されちゃった様な証明書の存在を、ドメイン所有者とか認証局の人とか
一般ユーザーが早めに気づくことができるようになります。

CTで遊んでみる

遊び様はいろいろありますが、手っ取り早い方法として、Comodoが公開している
Certificate Search https://crt.sh/ というツール使ってみたいと思います。
アクセスするとわかりますが、検索画面が表示されるので、そこにいろいろ入力することで世の認証局で発行された証明書を検索することができます。

crt.sh自体は、2015年からあるっぽいです。
Comodo Launches New Digital Certificate Searchable Web Site
https://www.comodo.com/news/press_releases/2015/06/comodo-launches-new-certificate-transparency-search-web-site.html

試しに、このサイト mtcq.jp に関する証明書を取得してみます。
% でワイルドカードとなりますので、 %.mtcq.jp で検索すると下記のような結果が返ります。

crt.sh ID Logged At Not Before Not After Identity Issuer Name
80865493 2017-01-27 2017-01-27 2017-04-27 mail.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
80865493 2017-01-27 2017-01-27 2017-04-27 www.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
64244582 2016-12-11 2016-12-11 2017-03-11 kl.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
48723518 2016-10-29 2016-10-29 2017-01-27 mail.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
48723518 2016-10-29 2016-10-29 2017-01-27 www.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
31691934 2016-09-11 2016-09-11 2016-12-10 kl.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
26395770 2016-07-31 2016-07-31 2016-10-29 mail.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
26395770 2016-07-31 2016-07-31 2016-10-29 www.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
17685033 2016-05-01 2016-05-01 2016-07-30 mail.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3
17685033 2016-05-01 2016-05-01 2016-07-30 www.mtcq.jp C=US, O=Let's Encrypt, CN=Let's Encrypt Authority X3


どんなドメイン名でいつどこの認証局から発行されたのかがまる分かりです。
各行のcrt.sh IDをクリックすると更に詳細な証明書情報を取得することができます。
詳細は書きませんが、Advanced な検索をすることで、CN単位の検索だけでなくOやOU項目での検索もできます。