Alle SSL-Artikel SSL & Zertifikate

Certificate Transparency: So ueberwachen Sie die Zertifikate Ihrer Domain

Certificate Transparency (CT) ist ein System, das jedes oeffentlich ausgestellte SSL-Zertifikat in oeffentlichen, nur anhaengbaren Logs aufzeichnet. Das bedeutet, dass jeder sehen kann, welche Zertifikate fuer eine Domain ausgestellt wurden — und unautorisierte oder betruegerische Zertifikate entdecken kann.

CT wurde 2013 von Google entwickelt, nachdem CAs Zertifikate fuer Domains ausgestellt hatten, fuer die sie nicht zustaendig waren (insbesondere der DigiNotar-Einbruch 2011, der zu gefaelschten Google-Zertifikaten fuehrte). Seit 2018 sind alle oeffentlich vertrauten CAs verpflichtet, jedes Zertifikat an CT-Logs zu uebermitteln.

Warum CT wichtig ist

Ohne CT (vor 2018)

Eine CA konnte ein Zertifikat fuer google.com an jemanden ausstellen, der die Domain nicht besitzt. Niemand wuerde es bemerken, bis das Zertifikat aktiv in einem Angriff verwendet wird. CAs arbeiteten allein auf Vertrauensbasis.

Mit CT

Jedes Zertifikat wird oeffentlich protokolliert. Wenn eine CA ein Zertifikat fuer google.com ausstellt, erscheint es innerhalb von Stunden in den CT-Logs. Google (oder jeder, der ueberwacht) kann es sofort erkennen.

Wie Sie CT-Logs fuer Ihre Domain pruefen

crt.sh — das beliebteste CT-Suchwerkzeug

Gehen Sie zu crt.sh und geben Sie Ihre Domain ein. Sie sehen jedes Zertifikat, das jemals fuer diese Domain ausgestellt wurde:

  • Issuer — welche CA es ausgestellt hat
  • Not Before / Not After — Gueltigkeitszeitraum
  • SAN — Domainnamen, die das Zertifikat abdeckt
Beispielergebnisse fuer example.com:
  2026-05-08  Let's Encrypt R10       example.com, www.example.com
  2026-02-15  Let's Encrypt R10       example.com
  2025-11-20  Let's Encrypt R3        example.com, www.example.com
  ...

Suche per Kommandozeile

curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'

Worauf Sie achten sollten

  • Zertifikate, die Sie nicht angefordert haben — koennte darauf hinweisen, dass jemand Ihre Domain imitiert
  • Unerwartete CAs — wenn Sie nur Let’s Encrypt verwenden, aber ein DigiCert-Zertifikat sehen, untersuchen Sie es
  • Wildcard-Zertifikate, die Sie nicht erstellt haben — *.yourdomain.com aus einer unbekannten Quelle
  • Subdomains, die Sie nicht kennensecret.yourdomain.com in einem Zertifikat, das Sie nicht angefordert haben

Wie CT technisch funktioniert

  1. CA stellt ein Zertifikat aus und uebermittelt es an ein oder mehrere CT-Logs
  2. CT-Log gibt einen SCT zurueck (Signed Certificate Timestamp) — Nachweis, dass das Zertifikat protokolliert wurde
  3. Der SCT wird eingebettet in das Zertifikat (oder waehrend des TLS-Handshakes bereitgestellt)
  4. Browser verifizieren den SCT — Chrome verlangt, dass Zertifikate gueltige SCTs von mindestens 2-3 CT-Logs haben
  5. Jeder kann die Logs ueberwachen auf Zertifikate, die fuer seine Domains ausgestellt wurden

CT-Logs sind nur anhaengbar — Zertifikate koennen hinzugefuegt, aber niemals entfernt oder veraendert werden. Das schafft eine ueberpruefbare Historie.

CT-Ueberwachung einrichten

Fuer automatisierte Ueberwachung verwenden Sie einen Dienst, der Sie benachrichtigt, wenn neue Zertifikate fuer Ihre Domain ausgestellt werden:

WerkzeugWieKosten
crt.sh (manuell)Periodisch suchenKostenlos
Cert Spotter (SSLMate)E-Mail-Benachrichtigungen bei neuen ZertifikatenKostenlose Stufe
Facebook CT MonitorBenachrichtigungen ueber Facebooks ToolKostenlos
Google Certificate TransparencyGoogles CT-Logs durchsuchenKostenlos

CT und GetHTTPS

Wenn Sie ein Zertifikat von GetHTTPS erhalten, uebermittelt Let’s Encrypt es automatisch an mehrere CT-Logs. Sie koennen dies ueberpruefen, indem Sie nach der Ausstellung Ihre Domain auf crt.sh suchen — Ihr Zertifikat erscheint innerhalb von Minuten.

Das ist beabsichtigt — die oeffentliche Protokollierung aller Zertifikate ist ein Sicherheitsmerkmal, kein Datenschutzproblem. Das Zertifikat selbst (Domainname, oeffentlicher Schluessel, CA) wird bereits waehrend des TLS-Handshakes an jeden Besucher gesendet.

Haeufig gestellte Fragen

Kann ich Certificate Transparency ablehnen?

Nein, fuer oeffentlich vertraute Zertifikate. Seit 2018 muessen alle CAs Zertifikate an CT-Logs uebermitteln. Browser (Chrome, Safari) lehnen Zertifikate ohne gueltige SCTs ab. Private/interne CAs sind ausgenommen — sie uebermitteln nicht an oeffentliche CT-Logs.

Verraet CT die IP-Adresse meines Servers?

Nein. CT-Logs enthalten das Zertifikat (Domainname, oeffentlicher Schluessel, CA, Gueltigkeit), aber nicht die IP-Adresse des Servers. DNS-Eintraege verraten die IP — CT-Logs fuegen keine neuen Informationen hinzu.

Ich habe ein Zertifikat fuer meine Domain gefunden, das ich nicht angefordert habe. Was soll ich tun?

  1. Pruefen Sie den Aussteller — koennte es das AutoSSL Ihres Hosting-Anbieters sein?
  2. Pruefen Sie den SAN — enthaelt er Domains, die Sie kennen?
  3. Wenn es wirklich unautorisiert ist, kontaktieren Sie die ausstellende CA, um einen Widerruf zu beantragen
  4. Pruefen Sie Ihre DNS-Eintraege auf unautorisierte Aenderungen — jemand koennte Ihre Domain auf seinen Server umgeleitet haben

Wie viele CT-Logs gibt es?

Dutzende. Wichtige Betreiber sind Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo und Let’s Encrypt. Browser verlangen SCTs von mehreren unabhaengigen Logs, um zu verhindern, dass ein einzelnes kompromittiertes Log ein betruegerisches Zertifikat verbergen kann.

Verwandte Artikel

SSL & Zertifikate 2026-05-07
Was ist eine Zertifizierungsstelle (CA)?
Eine Zertifizierungsstelle signiert SSL-Zertifikate, um die Identitaet einer Website zu bestaetigen. Erfahren Sie, wie CAs funktionieren, das Vertrauensmodell, die wichtigsten CAs und warum Let's Encrypt die Branche veraendert hat.
SSL & Zertifikate 2026-05-07
Die Zertifikats-Vertrauenskette erklaert
Wie Browser SSL-Zertifikate ueber eine Kette von der Root-CA ueber die Intermediate-CA bis zu Ihrem Zertifikat verifizieren. Erfahren Sie, warum die Kettenreihenfolge wichtig ist und wie Sie Fehler wie 'Zertifikat nicht vertrauenswuerdig' beheben.
SSL & Zertifikate 2026-05-08
Was ist ein SSL-Zertifikat?
Ein SSL-Zertifikat ist eine digitale Datei, die eine Website authentifiziert und verschluesselte HTTPS-Verbindungen ermoeglicht. Erfahren Sie, was in einem Zertifikat enthalten ist, wie es funktioniert, wie Sie eines kostenlos erhalten und warum jede Website eines braucht.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten