ドメインに発行されたすべての証明書を検索できる「CertRadar」
公開鍵証明書は信頼された第三者機関である認証局(CA)から発行され、ウェブサイトの正当性を証明するために使用されています。しかし悪意のある攻撃者が正規のドメイン名に対して不正に証明書を取得することでフィッシングサイトや中間者攻撃に利用するケースも存在し、過去の事例では2011年デジノター事件などが知られています。こうしたリスクを軽減するためにドメインに発行されたすべての証明書を検索できるツールが必要となります。CertRadarはドメインに対して発行されたすべての証明書を手軽に検索することができ、さらにドメインのリスクを洗い出すことのできるオンラインツールです。
SSL/TLS Security Tools - CertRadar
https://certradar.net/
◆CertRadarについて
CertRadarはソーシャルニュースサイトのHacker Newsで公開されました。作者によるとCloud Run上でRust言語を使用して構築されたとのこと。記事作成時点では無料で利用可能な6つのツールを公開しています。
◆Cert Log Search
指定したドメインに対して発行されたすべての証明書を検索するツールです。「Domain Name」にドメイン名を入力して「Search Certificates」ボタンをクリックすると証明書ログから該当ドメインに発行された証明書をCertificate Transparency(CT)ログから検索して一覧表示します。オプションとして「Include Subdomains(サブドメインを含める:初期値チェックあり)」と「Include Expired(期限切れの証明書を含める:初期値チェックなし)」を指定できます。
表示される情報は以下の通りです。
・Matched Domain(s):証明書が発行されたドメイン名
・Issuer:証明書を発行した認証局
・Not Before:証明書の有効開始日時
・Not After:証明書の有効期限日時
・crt.sh:証明書の詳細情報を表示するcrt.shへのリンク
◆TLS Scanner
SSL関連の解析を行うツールです。「Hostname」にドメイン名を入力して「Analyze SSL/TLS」ボタンをクリックすると、指定したドメインのSSL/TLS設定を解析して表示します。
表示される情報は以下の通りです。
・Protocol Support:サポートされているTLSプロトコルのバージョン
・Certificate Details:証明書の詳細情報
・HTTP Strict Transport Security(HSTS):HSTSの詳細情報
◆Header Search
HSTS・CSP・X-Frame-Optionsといったセキュリティに関するHTTPヘッダーの設定状況を解析するツールです。「Website URL」にドメイン名を入力して「Analyze Headers」ボタンをクリックすると、指定したドメインのセキュリティヘッダーに関する解析結果を表示します。
gigazine.netを解析したところ、HSTSが存在しないことを初めとして結構な数の指摘を受けてしまいました。
◆Domain Health
DNSレコードとSSLの健全性を1つのビューで確認できるツールです。「Domain Name」にドメイン名を入力して「Check Domain Health」ボタンをクリックすると、指定したドメインのDNSレコードとSSLの健全性に関する解析結果を表示します。
表示される情報は以下の通りです。
・CAA Analysis:CAAレコードの解析結果
・CNAME Chain:CNAMEチェーンの解析結果
・DNS Records:その他のDNSレコードの解析結果
◆RDAP Lookup
RDAPにドメイン情報を問い合わせた結果を表示するツールです。「Domain Name」にドメイン名を入力して「Query RDAP」ボタンをクリックすると指定したドメインに関するRDAPのレスポンスを表示します。
表示する情報は以下の通りです。
・Registration Summary:情報の概要
・Nameservers:ネームサーバー情報
・Raw RDAP Response:RDAPのレスポンスJSONデータ
◆Multi-Domain Report
複数のドメインに対して包括的なレポートを出力するツールです。「Enter domains」に改行区切りで最大20件のドメイン名を入力して「Generate Report」ボタンをクリックします。
ドメインごとに各種解析結果をまとめたレポートを生成します。
ドメインに関してより詳細な情報を確認したい場合は「Show Details」のリンクをクリックします。
詳細を表示すると、ドメインに関する以下の情報を表示します。
・SSL/TLS
・Security Headers
・RDAP/WHOIS
・DNS
・Issues:指摘事項
◆まとめ
CertRadarはドメインに発行されたすべての証明書を検索できる上にSSL/TLS設定・セキュリティヘッダー・DNSレコード・RDAP情報などを解析でき、問題点があれば指摘してくれる便利なオンラインツールであることがわかります。ドメインのセキュリティ状況を把握したり潜在的なリスクを特定するために役立つことからウェブサイトの管理者にとって非常に有用なツールだと言えるでしょう。
・関連記事
「OpenSSLの問題が深刻化している」と暗号ライブラリの開発者らが指摘 - GIGAZINE
Let’s Encryptを支えるオープンで自動化されたプロトコル「ACME」の歴史を振り返る - GIGAZINE
Let’s Encryptが証明書発行に関する変更点の詳細を発表、証明書チェーンの刷新・クライアント認証EKUの削除・証明書の有効期間の短縮など - GIGAZINE
Let’s Encryptが「短期証明書」を導入すると発表、セキュリティが向上&IPアドレスでの発行も可能に - GIGAZINE
無償のランサムウェア被害復旧ツールを当局がGitHubで公開、裁判所システムなど全世界で3800台以上のサーバーが被害を受けた大規模攻撃に終止符か - GIGAZINE
・関連コンテンツ
in ソフトウェア, レビュー, Posted by log1c_sh
You can read the machine translated English article CertRadar allows you to search all certi….