[[Vorlage(Getestet, bionic)]]


{{{#!vorlage Wissen
[:Pakete installieren: Installation von Programmen]
[:Programme_starten: Starten von Programmen]
[:Terminal: Ein Terminal öffnen]
[:Editor: Einen Editor verwenden]
[:mit Root-Rechten arbeiten:]
[:Cron: Einen Cronjob für einen Benutzer einrichten]
}}}

[[Inhaltsverzeichnis(1)]]

Zertifizierungsstellen (engl. Certificate Authority, kurz CA) tragen ausgestellte Zertifikate in öffentlich einsehbare Certificate Transparency Logs (CT) ein. Diese Logs sollen es jedem Nutzer erlauben zu überprüfen, ob und welche Zertifikate für seine Domains ausgestellt wurden. Hiermit soll die Erkennung von nicht autorisierten Zertifikaten erleichtert werden. Seit [https://www.feistyduck.com/bulletproof-tls-newsletter/issue_40_certificate_transparency_logging_is_now_mandatory April 2018] {en} vertraut Google Chrome nur noch solchen Zertifikaten, die in einem CT geführt werden.

[github:SSLMate/certspotter:Cert Spotter] {en} ist ein Certificate Transparency Log Monitor von SSLMate. Das Programm kann Certificate Transparency Logs überwachen und den Nutzer benachrichtigen, wenn ein Zertifikat für eine Domain des Nutzers ausgestellt wurde.

= Installation =
Das Programm '''certspotter''' kann direkt aus den Quellen installiert werden [1].

{{{#!vorlage Paketinstallation
certspotter, universe
}}}

= Bedienung =
Im [:Homeverzeichnis:] des Nutzers, welcher '''certspotter''' nutzen möchte, erstellt man mit einem Editor [4] die Datei '''~/.certspotter/watchlist'''. Diese enthält pro Zeile einen zu überwachenden Domain-Namen. Möchte man eine Domain inklusiv aller Subdomains überwachen, setzt man einen Punkt vor den Domain-Namen. Zum Beispiel '''.example.com'''. Möchte man ausschließlich die Domain example.com überwachen, lässt man den führenden Punkt einfach weg.

Nun kann man das Programm direkt aus dem Terminal heraus starten [2], um diverse Certificate Transparency Logs auf Zertifikate aus der eigenen Watchlist zu überprüfen. Um die Überwachung zu automatisieren, empfiehlt es sich einen Cronjob [6] zu erstellen, welcher das Programm regelmäßig ausführt.

Findet '''certspotter''' Zertifikate, welche einen Namen aus '''~/.certspotter/watchlist''' enthalten, werden diese auf der Standardausgabe ausgegeben. Eine Kopie der gefundenen Zertifikate wird in '''~/.certspotter/certs''' gespeichert.

Das Programm verfügt über die folgenden Optionen:

{{{#!vorlage Tabelle
<-2 rowclass="titel"> Kommandozeilenoptionen
+++
`-watchlist DATEINAME`
Datei mit den zu überwachenden Domain-Namen. Standardwert: ~/.certspotter/watchlist.
+++
`-no_save`
Speichert keine Kopie von gefundenen Zertifikaten.
+++
`-all_time`
Scannt alle Zertifikate. Per Standardeinstellung werden nur die Zertifikate gescannt, welche seit der letzten Ausführung von '''certspotter''' den Logs hinzugefügt wurden. Ein Lauf mit dieser Option kann sehr lange dauern.
+++
`-logs DATEINAME`
JSON-Datei, welche die zu prüfenden Certificate Transparency Logs enthält. Standardmäßig werden die Logs geprüft, denen Chromium vertraut.
+++
`-state_dir PFAD`
Verzeichnis, wo der Status gespeichert wird. Standard: '''~/.certspotter'''.
+++
`-verbose`
Ausführliche Ausgabe.
}}}

= Tipps und Tricks =

Will man das Programm regelmäßig automatisiert ausführen, kann man sich die Programmausgabe als E-Mail schicken lassen. Details findet man beispielsweise im Artikel [:Cron:].

= Links =
 * [github:SSLMate/certspotter:] {en}
 * [https://www.certificate-transparency.org/ Webseite Certificate Transparency] {en}
 * [https://tools.ietf.org/html/rfc6962 RFC6961 Certificate Transparency] {en}
 * [https://www.my-it-brain.de/wordpress/ueber-pinning-hpkp-caa-und-certificate-transparency/ Über Pinning (HPKP), CAA und Certificate Transparency] {de}

#tag: Sicherheit, SSL