La Transparencia de Certificados (CT) es un marco abierto para monitorear y auditar la emisión de certificados SSL/TLS. Requiere que las Autoridades de Certificación registren públicamente cada certificado que emiten, creando un registro auditable que permite a los propietarios de dominios e investigadores de seguridad detectar certificados emitidos incorrectamente o fraudulentos.
El sistema CT funciona a través de registros de solo adición mantenidos por operadores independientes. Cuando una CA emite un certificado, lo envía a uno o más registros CT y recibe un Signed Certificate Timestamp (SCT) como prueba de envío. Navegadores como Chrome requieren SCTs para que los certificados sean confiables, asegurando que todos los certificados se registren públicamente. Los libros sobre seguridad PKI en Amazon explican la infraestructura.
Para los servicios de acortamiento de URL, la Transparencia de Certificados proporciona una forma de monitorear si se han emitido certificados no autorizados para sus dominios. Si un atacante obtiene un certificado fraudulento para el dominio del servicio de acortamiento, los registros CT revelarían la emisión, permitiendo al servicio tomar medidas antes de que el certificado se use en un ataque.
Los propietarios de dominios pueden usar servicios de monitoreo CT para recibir alertas cuando se emiten nuevos certificados para sus dominios. Esto es particularmente importante para servicios que manejan datos sensibles o sirven como intermediarios de confianza, como lo hacen los servicios de acortamiento de URL. Los libros sobre monitoreo de seguridad en Amazon cubren herramientas de monitoreo.