Nueva herramienta: PySCTChecker

2 de julio de 2017
Esta nueva herramienta es un script "quick and dirty" que permite comprobar si un dominio implementa correctamente Certificate Transparency. Además, si lo implementa, es posible comprobar si lo hace correctamente en el lado del servidor.

Cuando un servidor implementa Certificate Transparency, debe ofrecer al menos un SCT (una prueba de la inclusión del certificado TLS del servidor en un log de transparencia.

El servidor puede ofrecer el un SCT por tres diferentes vías:
  • Incrustado en el certificado
  • Como una extensión TLS
  • Vía OCSP Stapling

Utilizando PySCTChecker es posible identificar mediante qué vías ofrece el servidor los SCT y a qué logs de CT se ha enviado el certificado. Además, es posible comprobar si los SCT ofrecidos son válidos y están legítimamente firmados por los logs a los que pertenecen.

El script solo necesita como entrada una lista de dominios. Para cada uno de estos dominios, comprobará si implementa correctamente Certificate Transparency. Si el servidor ofrece algún SCT, el script mostrará información extra como por ejemplo porqué vía lo ofrece el servidor y los logs a los que se ha enviado el certificado.

Uso:

python PySCTChecker/ct_domains_sct_checker.py [domain1 domain2 ...]

Ejemplo de salida:



Esta es una implementación "quick and dirty" puesto que se apoya en OpenSSL para ciertas funcionalidades, pero esperamos que permita entender mejor cómo funciona certificate transparency.

El código se puede descargar y comprobar desde aquí.

Esta herramienta viene a complementar nuestro conjunto de herramientas relacionadas con certificate transparency desarrollado desde ElevenPaths:


Innovación y laboratorio
www.elevenpaths.com