ウェブサイト向けに過去に発行されたサーバー証明書を検索したいけれども、どうやれば、調査することができるだろう。
目的
crt.shとは、信頼された認証局から発行されたサーバー証明書を検索することのできるサイトである。Sectigoが運営している。
検索時は、crt.sh(Certificate Search)で検索する。
ブラウザーに信頼されたCA証明書は、ここから確認できる。
基本的な検索方法
1.「crt.sh」にアクセスする。
発行された証明書を検索する場合は、サブジェクトDN(DN[識別名]: Distinguished Name)のうちCNを入力後「Search」をクリックして検索する。
| 検索条件の例 | 検索結果(過去の発行履歴が確認可能) |
| www.amazon.com | 特定の証明書を検索。 |
| amazon.com | ドメイン単位で証明書を検索。 |
| Fingerprint | 証明書のSHA1またはSHA256のFingerprint(拇印)で検索。 (例)afe2f44ff7171bbf6b1b026e281b6ad39bdfb6a8 |
| crt.sh ID | crt.sh IDで検索。(すでに分かっている場合) |
高度な検索方法
1.「crt.sh」にアクセスし、「Advanced…」をクリックする。
2.詳細条件で検索したい場合は、上記画面で「Advanced…」をクリックする。
「Advanced…」をクリックした後の画面が以下。
3.詳細検索の方法
一部項目について説明。
CERTIFICATE
| Select search type: | 使用方法 |
|---|---|
| crt sh ID | crt.shでは、すべての証明書にcrt sh IDを付与しているのでその番号がわかれば検索可能。(例)「6770577750」 |
| Serial Number | シリアルナンバーで検索できます。16進数のコロン区切りのシリアルナンバーをそのまま入力可能。 |
| Subject Key Identifier | サブジェクトキー識別子での検索。 |
IDENTITY
| Select search type: | 使用方法 |
|---|---|
| commonName(Subject) | commonNameでの検索。 (例)「world-tls.com」 |
| organizationalUnitName(Subject) | organizationalUnitName(組織部門名)での検索。 |
| organizationalName(Subject) | organizationalName(組織名)での検索。OV、EV証明書のみ対象。(例)「SECOM Trust Systems CO.,LTD」 |
| dNSName(SAN) | dNSNameでの検索。 (例)「world-tls.com」 |
CA
| Select search type: | 使用方法 |
|---|---|
| ID | crt.shで割り当てた、CA IDでの検索。 |
| Name | CA名での検索。(例)「%SECOM Passport for Web EV 2.0 CA%」 |
4.検索結果が表示されるので、
「CAs」に表示された認証局のサブジェクトDNを選択する。
5.認証局の情報が表示される。
| 項目名 | 内容 |
|---|---|
| Issued Certificates | 証明書発行数を確認できる。 |
| Unexpired | 有効な証明書数。 |
| Expired | 期限切れ証明書数。 |
| Certificates | 認証局がCT Log ServerからSCTを取得するためにCT Log Serverへ事前証明書を送信するが、SCTを取得し、SCTが埋め込まれている証明書。証明書表示画面のSummary項目では、Leaf certificateと表示されている。RFC6962参考。 |
| Precertificates | 認証局がCT Log ServerからSCTを取得するためにCT Log Serverへ送信する証明書。SCTが埋め込まれていない証明書で、事前証明書ともいう。RFC6962参考。 |
| Enter search term: | %を入力すると全証明書を表示できる条件となる。 |
| Search options | 「Exclude expired certificates?」チェックを入れると有効な証明書のみ表示できる。 |
| Search | 検索開始する。 |
6.証明書一覧させるための画面。「%」の場合、全検索となる。
dNSNameを「%www.secomtrust.net%」で絞り込む画面。
7.crt.sh IDをクリックした画面。
Revocation
| 項目名 | 内容 |
|---|---|
| OCSP Check | OCSPレスポンダーからの応答結果を表示。 |
Certificate Fingerprints
| 項目名 | 内容 |
|---|---|
| SHA-256 | Censys(別サイト)での証明書表示。 |
Certificate
| 項目名 | 内容 |
|---|---|
| Run cablint | Baseline Requirementsに準拠しているか検査。 |
| Run x509lint | X.509に準拠しているか検査。 |
| Run zlint | The ZMap teamが作成した証明書チェックツールでの検査。 |
| Certificate | 証明書ダウンロード。 |
| Serial Number | 同じシリアルナンバーがあるか検索。Leaf certificateとPrecertificateの両方登録されている場合、2枚表示される。 |
| Issuer | この証明書の発行者(認証局)の表示。 |
