Все статьи о SSL SSL и сертификаты

Certificate Transparency: как отслеживать сертификаты вашего домена

Certificate Transparency (CT) — это система, которая записывает каждый публично выданный SSL-сертификат в публичные журналы, работающие только на добавление. Это означает, что любой может видеть, какие сертификаты были выданы для любого домена, и обнаружить неавторизованные или мошеннические сертификаты.

CT была создана Google в 2013 году после инцидентов, когда CA выдавали сертификаты для доменов, на которые не имели права (в частности, взлом DigiNotar в 2011 году, который привёл к выдаче мошеннических сертификатов Google). С 2018 года все публично доверенные CA обязаны отправлять каждый сертификат в журналы CT.

Почему CT важна

Без CT (до 2018 года)

CA мог выдать сертификат для google.com тому, кто не владеет этим доменом. Никто не узнал бы об этом, пока сертификат не был бы активно использован в атаке. CA работали исключительно на основе доверия.

С CT

Каждый сертификат публично записывается. Если CA выдаёт сертификат для google.com, он появляется в журналах CT в течение нескольких часов. Google (или любой, кто ведёт мониторинг) может обнаружить это немедленно.

Как проверить журналы CT для вашего домена

crt.sh — самый популярный инструмент поиска по CT

Перейдите на crt.sh и введите ваш домен. Вы увидите каждый сертификат, когда-либо выданный для этого домена:

  • Issuer — какой CA его выдал
  • Not Before / Not After — период действия
  • SAN — доменные имена, которые покрывает сертификат
Example results for example.com:
  2026-05-08  Let's Encrypt R10       example.com, www.example.com
  2026-02-15  Let's Encrypt R10       example.com
  2025-11-20  Let's Encrypt R3        example.com, www.example.com
  ...

Поиск через командную строку

curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'

На что обращать внимание

  • Сертификаты, которые вы не запрашивали — могут указывать на то, что кто-то выдаёт себя за ваш домен
  • Неожиданные CA — если вы используете только Let’s Encrypt, но видите сертификат DigiCert, стоит разобраться
  • Wildcard-сертификаты, которые вы не создавали*.yourdomain.com из неизвестного источника
  • Поддомены, которые вы не узнаётеsecret.yourdomain.com в сертификате, который вы не запрашивали

Как CT работает технически

  1. CA выдаёт сертификат и отправляет его в один или несколько журналов CT
  2. Журнал CT возвращает SCT (Signed Certificate Timestamp) — подтверждение того, что сертификат был записан
  3. SCT встраивается в сертификат (или передаётся при TLS-рукопожатии)
  4. Браузеры проверяют SCT — Chrome требует, чтобы сертификаты имели действительные SCT как минимум из 2-3 журналов CT
  5. Любой может отслеживать журналы на предмет сертификатов, выданных для его доменов

Журналы CT работают только на добавление — сертификаты можно добавить, но нельзя удалить или изменить. Это создаёт проверяемую историю.

Настройка мониторинга CT

Для автоматического мониторинга используйте сервис, который уведомит вас о выдаче новых сертификатов для вашего домена:

ИнструментСпособСтоимость
crt.sh (ручной)Периодический поискБесплатно
Cert Spotter (SSLMate)Email-уведомления о новых сертификатахБесплатный тариф
Facebook CT MonitorУведомления через инструмент FacebookБесплатно
Google Certificate TransparencyПоиск по журналам CT от GoogleБесплатно

CT и GetHTTPS

Когда вы получаете сертификат через GetHTTPS, Let’s Encrypt автоматически отправляет его в несколько журналов CT. Вы можете убедиться в этом, выполнив поиск по вашему домену на crt.sh после выдачи — ваш сертификат появится в течение нескольких минут.

Это сделано намеренно — публичная запись всех сертификатов является функцией безопасности, а не проблемой конфиденциальности. Сам сертификат (доменное имя, открытый ключ, CA) уже передаётся каждому посетителю в процессе TLS-рукопожатия.

Часто задаваемые вопросы

Можно ли отказаться от Certificate Transparency?

Нет, для публично доверенных сертификатов. С 2018 года все CA обязаны отправлять сертификаты в журналы CT. Браузеры (Chrome, Safari) отклоняют сертификаты без действительных SCT. Частные/внутренние CA освобождены от этого — они не отправляют данные в публичные журналы CT.

Раскрывает ли CT IP-адрес моего сервера?

Нет. Журналы CT содержат сертификат (доменное имя, открытый ключ, CA, срок действия), но не IP-адрес сервера. DNS-записи раскрывают IP — журналы CT не добавляют новой информации.

Я нашёл сертификат для моего домена, который не запрашивал. Что делать?

  1. Проверьте издателя — возможно, это AutoSSL вашего хостинг-провайдера?
  2. Проверьте SAN — содержит ли он домены, которые вы узнаёте?
  3. Если сертификат действительно неавторизованный, свяжитесь с выдавшим CA для запроса отзыва
  4. Проверьте свои DNS-записи на предмет несанкционированных изменений — кто-то мог направить ваш домен на свой сервер

Сколько журналов CT существует?

Десятки. Основные операторы — Google (Argon, Xenon), Cloudflare (Nimbus), DigiCert, Sectigo и Let’s Encrypt. Браузеры требуют SCT из нескольких независимых журналов, чтобы предотвратить сокрытие мошеннического сертификата одним скомпрометированным журналом.

Похожие статьи

SSL и сертификаты 2026-05-07
Что такое удостоверяющий центр (CA)?
Удостоверяющий центр подписывает SSL-сертификаты для подтверждения подлинности сайта. Узнайте, как работают CA, модель доверия, основные CA и почему Let's Encrypt изменил отрасль.
SSL и сертификаты 2026-05-07
Цепочка доверия сертификатов: подробное объяснение
Как браузеры проверяют SSL-сертификаты через цепочку от корневого CA к промежуточному CA и до вашего сертификата. Узнайте, почему важен порядок цепочки и как исправить ошибку 'сертификат не является доверенным'.
SSL и сертификаты 2026-05-08
Что такое SSL-сертификат?
SSL-сертификат — это цифровой файл, удостоверяющий подлинность сайта и обеспечивающий зашифрованное HTTPS-соединение. Узнайте, что содержит сертификат, как он работает, как получить его бесплатно и почему он нужен каждому сайту.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат