Certificate Transparency (CT) ist ein System, das jedes oeffentlich ausgestellte SSL-Zertifikat in oeffentlichen, nur anhaengbaren Logs aufzeichnet. Das bedeutet, dass jeder sehen kann, welche Zertifikate fuer eine Domain ausgestellt wurden — und unautorisierte oder betruegerische Zertifikate entdecken kann.
CT wurde 2013 von Google entwickelt, nachdem CAs Zertifikate fuer Domains ausgestellt hatten, fuer die sie nicht zustaendig waren (insbesondere der DigiNotar-Einbruch 2011, der zu gefaelschten Google-Zertifikaten fuehrte). Seit 2018 sind alle oeffentlich vertrauten CAs verpflichtet, jedes Zertifikat an CT-Logs zu uebermitteln.
Warum CT wichtig ist
Ohne CT (vor 2018)
Eine CA konnte ein Zertifikat fuer google.com an jemanden ausstellen, der die Domain nicht besitzt. Niemand wuerde es bemerken, bis das Zertifikat aktiv in einem Angriff verwendet wird. CAs arbeiteten allein auf Vertrauensbasis.
Mit CT
Jedes Zertifikat wird oeffentlich protokolliert. Wenn eine CA ein Zertifikat fuer google.com ausstellt, erscheint es innerhalb von Stunden in den CT-Logs. Google (oder jeder, der ueberwacht) kann es sofort erkennen.
Wie Sie CT-Logs fuer Ihre Domain pruefen
crt.sh — das beliebteste CT-Suchwerkzeug
Gehen Sie zu crt.sh und geben Sie Ihre Domain ein. Sie sehen jedes Zertifikat, das jemals fuer diese Domain ausgestellt wurde:
- Issuer — welche CA es ausgestellt hat
- Not Before / Not After — Gueltigkeitszeitraum
- SAN — Domainnamen, die das Zertifikat abdeckt
Beispielergebnisse fuer example.com:
2026-05-08 Let's Encrypt R10 example.com, www.example.com
2026-02-15 Let's Encrypt R10 example.com
2025-11-20 Let's Encrypt R3 example.com, www.example.com
...
Suche per Kommandozeile
curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'
Worauf Sie achten sollten
- Zertifikate, die Sie nicht angefordert haben — koennte darauf hinweisen, dass jemand Ihre Domain imitiert
- Unerwartete CAs — wenn Sie nur Let’s Encrypt verwenden, aber ein DigiCert-Zertifikat sehen, untersuchen Sie es
- Wildcard-Zertifikate, die Sie nicht erstellt haben —
*.yourdomain.comaus einer unbekannten Quelle - Subdomains, die Sie nicht kennen —
secret.yourdomain.comin einem Zertifikat, das Sie nicht angefordert haben
Wie CT technisch funktioniert
- CA stellt ein Zertifikat aus und uebermittelt es an ein oder mehrere CT-Logs
- CT-Log gibt einen SCT zurueck (Signed Certificate Timestamp) — Nachweis, dass das Zertifikat protokolliert wurde
- Der SCT wird eingebettet in das Zertifikat (oder waehrend des TLS-Handshakes bereitgestellt)
- Browser verifizieren den SCT — Chrome verlangt, dass Zertifikate gueltige SCTs von mindestens 2-3 CT-Logs haben
- Jeder kann die Logs ueberwachen auf Zertifikate, die fuer seine Domains ausgestellt wurden
CT-Logs sind nur anhaengbar — Zertifikate koennen hinzugefuegt, aber niemals entfernt oder veraendert werden. Das schafft eine ueberpruefbare Historie.
CT-Ueberwachung einrichten
Fuer automatisierte Ueberwachung verwenden Sie einen Dienst, der Sie benachrichtigt, wenn neue Zertifikate fuer Ihre Domain ausgestellt werden:
| Werkzeug | Wie | Kosten |
|---|---|---|
| crt.sh (manuell) | Periodisch suchen | Kostenlos |
| Cert Spotter (SSLMate) | E-Mail-Benachrichtigungen bei neuen Zertifikaten | Kostenlose Stufe |
| Facebook CT Monitor | Benachrichtigungen ueber Facebooks Tool | Kostenlos |
| Google Certificate Transparency | Googles CT-Logs durchsuchen | Kostenlos |
CT und GetHTTPS
Wenn Sie ein Zertifikat von GetHTTPS erhalten, uebermittelt Let’s Encrypt es automatisch an mehrere CT-Logs. Sie koennen dies ueberpruefen, indem Sie nach der Ausstellung Ihre Domain auf crt.sh suchen — Ihr Zertifikat erscheint innerhalb von Minuten.
Das ist beabsichtigt — die oeffentliche Protokollierung aller Zertifikate ist ein Sicherheitsmerkmal, kein Datenschutzproblem. Das Zertifikat selbst (Domainname, oeffentlicher Schluessel, CA) wird bereits waehrend des TLS-Handshakes an jeden Besucher gesendet.
Haeufig gestellte Fragen
Kann ich Certificate Transparency ablehnen?
Nein, fuer oeffentlich vertraute Zertifikate. Seit 2018 muessen alle CAs Zertifikate an CT-Logs uebermitteln. Browser (Chrome, Safari) lehnen Zertifikate ohne gueltige SCTs ab. Private/interne CAs sind ausgenommen — sie uebermitteln nicht an oeffentliche CT-Logs.
Verraet CT die IP-Adresse meines Servers?
Nein. CT-Logs enthalten das Zertifikat (Domainname, oeffentlicher Schluessel, CA, Gueltigkeit), aber nicht die IP-Adresse des Servers. DNS-Eintraege verraten die IP — CT-Logs fuegen keine neuen Informationen hinzu.
Ich habe ein Zertifikat fuer meine Domain gefunden, das ich nicht angefordert habe. Was soll ich tun?
- Pruefen Sie den Aussteller — koennte es das AutoSSL Ihres Hosting-Anbieters sein?
- Pruefen Sie den SAN — enthaelt er Domains, die Sie kennen?
- Wenn es wirklich unautorisiert ist, kontaktieren Sie die ausstellende CA, um einen Widerruf zu beantragen
- Pruefen Sie Ihre DNS-Eintraege auf unautorisierte Aenderungen — jemand koennte Ihre Domain auf seinen Server umgeleitet haben
Wie viele CT-Logs gibt es?
Dutzende. Wichtige Betreiber sind Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo und Let’s Encrypt. Browser verlangen SCTs von mehreren unabhaengigen Logs, um zu verhindern, dass ein einzelnes kompromittiertes Log ein betruegerisches Zertifikat verbergen kann.