Certificate Transparency (CT) é um sistema que registra cada certificado SSL emitido publicamente em logs públicos somente de adição (append-only). Isso significa que qualquer pessoa pode ver quais certificados foram emitidos para qualquer domínio — e detectar certificados não autorizados ou fraudulentos.
O CT foi criado pelo Google em 2013 após incidentes em que CAs emitiram certificados para domínios que não deveriam (notavelmente a violação da DigiNotar em 2011, que levou a certificados fraudulentos do Google). Desde 2018, todas as CAs publicamente confiáveis são obrigadas a enviar cada certificado para os logs CT.
Por que o CT é importante
Sem CT (antes de 2018)
Uma CA poderia emitir um certificado para google.com para alguém que não é proprietário do domínio. Ninguém saberia até que o certificado fosse ativamente usado em um ataque. As CAs operavam apenas com base na confiança.
Com CT
Todo certificado é registrado publicamente. Se uma CA emitir um certificado para google.com, ele aparece nos logs CT em horas. O Google (ou qualquer pessoa monitorando) pode detectá-lo imediatamente.
Como verificar os logs CT do seu domínio
crt.sh — a ferramenta de busca CT mais popular
Acesse crt.sh e insira seu domínio. Você verá todos os certificados já emitidos para esse domínio:
- Issuer — qual CA emitiu
- Not Before / Not After — período de validade
- SAN — nomes de domínio que o certificado cobre
Resultados de exemplo para example.com:
2026-05-08 Let's Encrypt R10 example.com, www.example.com
2026-02-15 Let's Encrypt R10 example.com
2025-11-20 Let's Encrypt R3 example.com, www.example.com
...
Busca via linha de comando
curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'
O que procurar
- Certificados que você não solicitou — pode indicar que alguém está se passando pelo seu domínio
- CAs inesperadas — se você usa apenas Let’s Encrypt mas vê um certificado DigiCert, investigue
- Certificados wildcard que você não criou —
*.yourdomain.comde uma fonte desconhecida - Subdomínios que você não reconhece —
secret.yourdomain.comem um certificado que você não solicitou
Como o CT funciona tecnicamente
- A CA emite um certificado e o envia para um ou mais logs CT
- O log CT retorna um SCT (Signed Certificate Timestamp) — prova de que o certificado foi registrado
- O SCT é incorporado no certificado (ou servido durante o handshake TLS)
- Navegadores verificam o SCT — o Chrome exige que os certificados tenham SCTs válidos de pelo menos 2-3 logs CT
- Qualquer pessoa pode monitorar os logs em busca de certificados emitidos para seus domínios
Os logs CT são somente de adição — certificados podem ser adicionados, mas nunca removidos ou modificados. Isso cria um histórico auditável.
Configurando monitoramento CT
Para monitoramento automatizado, use um serviço que alerta quando novos certificados são emitidos para seu domínio:
| Ferramenta | Como | Custo |
|---|---|---|
| crt.sh (manual) | Busca periódica | Gratuito |
| Cert Spotter (SSLMate) | Alertas por e-mail sobre novos certificados | Tier gratuito |
| Facebook CT Monitor | Alertas via ferramenta do Facebook | Gratuito |
| Google Certificate Transparency | Busca nos logs CT do Google | Gratuito |
CT e GetHTTPS
Quando você obtém um certificado do GetHTTPS, a Let’s Encrypt automaticamente o envia para múltiplos logs CT. Você pode verificar buscando seu domínio no crt.sh após a emissão — seu certificado aparecerá em minutos.
Isso é intencional — o registro público de todos os certificados é um recurso de segurança, não uma preocupação de privacidade. O certificado em si (nome do domínio, chave pública, CA) já é enviado a cada visitante durante o handshake TLS.
Perguntas frequentes
Posso optar por não participar do Certificate Transparency?
Não, para certificados publicamente confiáveis. Desde 2018, todas as CAs devem enviar certificados para os logs CT. Navegadores (Chrome, Safari) rejeitam certificados sem SCTs válidos. CAs privadas/internas são isentas — elas não enviam para logs CT públicos.
O CT revela o endereço IP do meu servidor?
Não. Os logs CT contêm o certificado (nome do domínio, chave pública, CA, validade), mas não o endereço IP do servidor. Os registros DNS revelam o IP — os logs CT não adicionam novas informações.
Encontrei um certificado para meu domínio que não solicitei. O que faço?
- Verifique o emissor — pode ser o AutoSSL do seu provedor de hospedagem?
- Verifique o SAN — inclui domínios que você reconhece?
- Se realmente não autorizado, contate a CA emissora para solicitar revogação
- Verifique seu DNS para alterações não autorizadas — alguém pode ter apontado seu domínio para o servidor deles
Quantos logs CT existem?
Dezenas. Os principais operadores incluem Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo e Let’s Encrypt. Os navegadores exigem SCTs de múltiplos logs independentes para evitar que um único log comprometido oculte um certificado fraudulento.