certspotter

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

Zum Verständnis dieses Artikels sind folgende Seiten hilfreich:

  1. Installation von Programmen

  2. Starten von Programmen

  3. Ein Terminal öffnen

  4. Einen Editor verwenden

  5. mit Root-Rechten arbeiten

  6. Einen Cronjob für einen Benutzer einrichten

Inhaltsverzeichnis
  1. Installation
  2. Bedienung
  3. Tipps und Tricks
  4. Links

Zertifizierungsstellen (engl. Certificate Authority, kurz CA) tragen ausgestellte Zertifikate in öffentlich einsehbare Certificate Transparency Logs (CT) ein. Diese Logs sollen es jedem Nutzer erlauben zu überprüfen, ob und welche Zertifikate für seine Domains ausgestellt wurden. Hiermit soll die Erkennung von nicht autorisierten Zertifikaten erleichtert werden. Seit April 2018 🇬🇧 vertraut Google Chrome nur noch solchen Zertifikaten, die in einem CT geführt werden.

Cert Spotter 🇬🇧 ist ein Certificate Transparency Log Monitor von SSLMate. Das Programm kann Certificate Transparency Logs überwachen und den Nutzer benachrichtigen, wenn ein Zertifikat für eine Domain des Nutzers ausgestellt wurde.

Installation

Das Programm certspotter kann direkt aus den Quellen installiert werden [1].

Paketliste zum Kopieren:

sudo apt-get install certspotter 

Oder mit apturl die Pakete installieren. Link: apt://certspotter

Bedienung

Im Homeverzeichnis des Nutzers, welcher certspotter nutzen möchte, erstellt man mit einem Editor [4] die Datei ~/.certspotter/watchlist. Diese enthält pro Zeile einen zu überwachenden Domain-Namen. Möchte man eine Domain inklusiv aller Subdomains überwachen, setzt man einen Punkt vor den Domain-Namen. Zum Beispiel .example.com. Möchte man ausschließlich die Domain example.com überwachen, lässt man den führenden Punkt einfach weg.

Nun kann man das Programm direkt aus dem Terminal heraus starten [2], um diverse Certificate Transparency Logs auf Zertifikate aus der eigenen Watchlist zu überprüfen. Um die Überwachung zu automatisieren, empfiehlt es sich einen Cronjob [6] zu erstellen, welcher das Programm regelmäßig ausführt.

Findet certspotter Zertifikate, welche einen Namen aus ~/.certspotter/watchlist enthalten, werden diese auf der Standardausgabe ausgegeben. Eine Kopie der gefundenen Zertifikate wird in ~/.certspotter/certs gespeichert.

Das Programm verfügt über die folgenden Optionen:

Kommandozeilenoptionen
-watchlist DATEINAME Datei mit den zu überwachenden Domain-Namen. Standardwert: ~/.certspotter/watchlist.
-no_save Speichert keine Kopie von gefundenen Zertifikaten.
-all_time Scannt alle Zertifikate. Per Standardeinstellung werden nur die Zertifikate gescannt, welche seit der letzten Ausführung von certspotter den Logs hinzugefügt wurden. Ein Lauf mit dieser Option kann sehr lange dauern.
-logs DATEINAME JSON-Datei, welche die zu prüfenden Certificate Transparency Logs enthält. Standardmäßig werden die Logs geprüft, denen Chromium vertraut.
-state_dir PFAD Verzeichnis, wo der Status gespeichert wird. Standard: ~/.certspotter.
-verbose Ausführliche Ausgabe.

Tipps und Tricks

Will man das Programm regelmäßig automatisiert ausführen, kann man sich die Programmausgabe als E-Mail schicken lassen. Details findet man beispielsweise im Artikel Cron.