Certificate Transparency (CT) es un sistema que registra cada certificado SSL emitido públicamente en logs públicos de solo adición. Esto significa que cualquier persona puede ver qué certificados se han emitido para cualquier dominio y detectar certificados no autorizados o fraudulentos.
CT fue creado por Google en 2013 después de incidentes en los que CAs emitieron certificados para dominios que no debían (notablemente la brecha de DigiNotar en 2011, que llevó a certificados fraudulentos de Google). Desde 2018, todas las CAs de confianza pública están obligadas a enviar cada certificado a los logs CT.
Por qué CT importa
Sin CT (antes de 2018)
Una CA podía emitir un certificado para google.com a alguien que no lo posee. Nadie lo sabría hasta que el certificado se usara activamente en un ataque. Las CAs operaban solo con base en la confianza.
Con CT
Cada certificado se registra públicamente. Si una CA emite un certificado para google.com, aparece en los logs CT en cuestión de horas. Google (o cualquiera que monitoree) puede detectarlo inmediatamente.
Cómo consultar los logs CT de tu dominio
crt.sh — la herramienta de búsqueda CT más popular
Ve a crt.sh e ingresa tu dominio. Verás cada certificado emitido para ese dominio:
- Issuer — qué CA lo emitió
- Not Before / Not After — período de validez
- SAN — nombres de dominio que cubre el certificado
Example results for example.com:
2026-05-08 Let's Encrypt R10 example.com, www.example.com
2026-02-15 Let's Encrypt R10 example.com
2025-11-20 Let's Encrypt R3 example.com, www.example.com
...Búsqueda por línea de comandos
curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'Qué buscar
- Certificados que no solicitaste — pueden indicar que alguien está suplantando tu dominio
- CAs inesperadas — si solo usas Let’s Encrypt pero ves un certificado de DigiCert, investiga
- Certificados comodín que no creaste —
*.yourdomain.comde una fuente desconocida - Subdominios que no reconoces —
secret.yourdomain.comen un certificado que no solicitaste
Cómo funciona CT técnicamente
- La CA emite un certificado y lo envía a uno o más logs CT
- El log CT devuelve un SCT (Signed Certificate Timestamp) — prueba de que el certificado fue registrado
- El SCT se incrusta en el certificado (o se sirve durante la negociación TLS)
- Los navegadores verifican el SCT — Chrome requiere que los certificados tengan SCTs válidos de al menos 2-3 logs CT
- Cualquiera puede monitorear los logs en busca de certificados emitidos para sus dominios
Los logs CT son de solo adición: los certificados pueden añadirse pero nunca eliminarse o modificarse. Esto crea un historial auditable.
Configurar monitoreo CT
Para monitoreo automatizado, usa un servicio que te alerte cuando se emitan nuevos certificados para tu dominio:
| Herramienta | Cómo | Costo |
|---|---|---|
| crt.sh (manual) | Buscar periódicamente | Gratis |
| Cert Spotter (SSLMate) | Alertas por correo sobre nuevos certificados | Nivel gratuito |
| Facebook CT Monitor | Alertas vía la herramienta de Facebook | Gratis |
| Google Certificate Transparency | Buscar en los logs CT de Google | Gratis |
CT y GetHTTPS
Cuando obtienes un certificado desde GetHTTPS, Let’s Encrypt lo envía automáticamente a múltiples logs CT. Puedes verificarlo buscando tu dominio en crt.sh después de la emisión; tu certificado aparecerá en minutos.
Esto es por diseño: el registro público de todos los certificados es una característica de seguridad, no una preocupación de privacidad. El certificado en sí (nombre de dominio, clave pública, CA) ya se envía a cada visitante durante la negociación TLS.
Preguntas frecuentes
¿Puedo optar por no participar en Certificate Transparency?
No, para certificados de confianza pública. Desde 2018, todas las CAs deben enviar certificados a los logs CT. Los navegadores (Chrome, Safari) rechazan certificados sin SCTs válidos. Las CAs privadas/internas están exentas: no envían a los logs CT públicos.
¿CT revela la dirección IP de mi servidor?
No. Los logs CT contienen el certificado (nombre de dominio, clave pública, CA, validez) pero no la dirección IP del servidor. Los registros DNS revelan la IP; los logs CT no añaden información nueva.
Encontré un certificado para mi dominio que no solicité. ¿Qué hago?
- Verifica el emisor — ¿podría ser el AutoSSL de tu proveedor de hosting?
- Verifica el SAN — ¿incluye dominios que reconoces?
- Si es verdaderamente no autorizado, contacta a la CA emisora para solicitar la revocación
- Revisa tu DNS en busca de cambios no autorizados — alguien podría haber apuntado tu dominio a su servidor
¿Cuántos logs CT existen?
Docenas. Los principales operadores incluyen Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo y Let’s Encrypt. Los navegadores requieren SCTs de múltiples logs independientes para prevenir que un solo log comprometido oculte un certificado fraudulento.