Todos os artigos sobre SSL SSL e certificados

Certificate Transparency: Como Monitorar os Certificados do Seu Domínio

Certificate Transparency (CT) é um sistema que registra cada certificado SSL emitido publicamente em logs públicos somente de adição (append-only). Isso significa que qualquer pessoa pode ver quais certificados foram emitidos para qualquer domínio — e detectar certificados não autorizados ou fraudulentos.

O CT foi criado pelo Google em 2013 após incidentes em que CAs emitiram certificados para domínios que não deveriam (notavelmente a violação da DigiNotar em 2011, que levou a certificados fraudulentos do Google). Desde 2018, todas as CAs publicamente confiáveis são obrigadas a enviar cada certificado para os logs CT.

Por que o CT é importante

Sem CT (antes de 2018)

Uma CA poderia emitir um certificado para google.com para alguém que não é proprietário do domínio. Ninguém saberia até que o certificado fosse ativamente usado em um ataque. As CAs operavam apenas com base na confiança.

Com CT

Todo certificado é registrado publicamente. Se uma CA emitir um certificado para google.com, ele aparece nos logs CT em horas. O Google (ou qualquer pessoa monitorando) pode detectá-lo imediatamente.

Como verificar os logs CT do seu domínio

Acesse crt.sh e insira seu domínio. Você verá todos os certificados já emitidos para esse domínio:

  • Issuer — qual CA emitiu
  • Not Before / Not After — período de validade
  • SAN — nomes de domínio que o certificado cobre
Resultados de exemplo para example.com:
  2026-05-08  Let's Encrypt R10       example.com, www.example.com
  2026-02-15  Let's Encrypt R10       example.com
  2025-11-20  Let's Encrypt R3        example.com, www.example.com
  ...

Busca via linha de comando

curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'

O que procurar

  • Certificados que você não solicitou — pode indicar que alguém está se passando pelo seu domínio
  • CAs inesperadas — se você usa apenas Let’s Encrypt mas vê um certificado DigiCert, investigue
  • Certificados wildcard que você não criou — *.yourdomain.com de uma fonte desconhecida
  • Subdomínios que você não reconhecesecret.yourdomain.com em um certificado que você não solicitou

Como o CT funciona tecnicamente

  1. A CA emite um certificado e o envia para um ou mais logs CT
  2. O log CT retorna um SCT (Signed Certificate Timestamp) — prova de que o certificado foi registrado
  3. O SCT é incorporado no certificado (ou servido durante o handshake TLS)
  4. Navegadores verificam o SCT — o Chrome exige que os certificados tenham SCTs válidos de pelo menos 2-3 logs CT
  5. Qualquer pessoa pode monitorar os logs em busca de certificados emitidos para seus domínios

Os logs CT são somente de adição — certificados podem ser adicionados, mas nunca removidos ou modificados. Isso cria um histórico auditável.

Configurando monitoramento CT

Para monitoramento automatizado, use um serviço que alerta quando novos certificados são emitidos para seu domínio:

FerramentaComoCusto
crt.sh (manual)Busca periódicaGratuito
Cert Spotter (SSLMate)Alertas por e-mail sobre novos certificadosTier gratuito
Facebook CT MonitorAlertas via ferramenta do FacebookGratuito
Google Certificate TransparencyBusca nos logs CT do GoogleGratuito

CT e GetHTTPS

Quando você obtém um certificado do GetHTTPS, a Let’s Encrypt automaticamente o envia para múltiplos logs CT. Você pode verificar buscando seu domínio no crt.sh após a emissão — seu certificado aparecerá em minutos.

Isso é intencional — o registro público de todos os certificados é um recurso de segurança, não uma preocupação de privacidade. O certificado em si (nome do domínio, chave pública, CA) já é enviado a cada visitante durante o handshake TLS.

Perguntas frequentes

Posso optar por não participar do Certificate Transparency?

Não, para certificados publicamente confiáveis. Desde 2018, todas as CAs devem enviar certificados para os logs CT. Navegadores (Chrome, Safari) rejeitam certificados sem SCTs válidos. CAs privadas/internas são isentas — elas não enviam para logs CT públicos.

O CT revela o endereço IP do meu servidor?

Não. Os logs CT contêm o certificado (nome do domínio, chave pública, CA, validade), mas não o endereço IP do servidor. Os registros DNS revelam o IP — os logs CT não adicionam novas informações.

Encontrei um certificado para meu domínio que não solicitei. O que faço?

  1. Verifique o emissor — pode ser o AutoSSL do seu provedor de hospedagem?
  2. Verifique o SAN — inclui domínios que você reconhece?
  3. Se realmente não autorizado, contate a CA emissora para solicitar revogação
  4. Verifique seu DNS para alterações não autorizadas — alguém pode ter apontado seu domínio para o servidor deles

Quantos logs CT existem?

Dezenas. Os principais operadores incluem Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo e Let’s Encrypt. Os navegadores exigem SCTs de múltiplos logs independentes para evitar que um único log comprometido oculte um certificado fraudulento.

Artigos relacionados

SSL e certificados 2026-05-07
O que é uma Autoridade Certificadora (CA)?
Uma Autoridade Certificadora assina certificados SSL para comprovar a identidade de um site. Aprenda como as CAs funcionam, o modelo de confiança, principais CAs e por que o Let's Encrypt mudou a industria.
SSL e certificados 2026-05-07
Cadeia de Confiança de Certificados Explicada
Como os navegadores verificam certificados SSL através de uma cadeia da CA raiz à CA intermediária até o seu certificado. Saiba por que a ordem da cadeia importa e como corrigir erros de 'certificado não confiável'.
SSL e certificados 2026-05-08
O que é um Certificado SSL?
Um certificado SSL é um arquivo digital que autentica um site e habilita conexões HTTPS criptografadas. Aprenda o que ha dentro de um certificado, como funciona, como obter um gratuitamente e por que todo site precisa de um.
Obtenha um certificado SSL gratuito no seu navegador
Sem instalacao, sem conta. Sua chave privada nunca sai do seu dispositivo.
Obter seu certificado