Subdomain-Finder

Jedes Mal, wenn ein SSL/TLS-Zertifikat für eine Domain oder Subdomain ausgestellt wird, wird es in öffentlichen Certificate Transparency (CT)-Protokollen gespeichert - eine Anforderung für alle öffentlich vertrauenswuerdigen CAs seit 2018. Diese Protokolle sind öffentlich durchsuchbar. Durch Abfrage von crt.sh (einem CT-Protokoll-Aggregator) können wir jede Subdomain finden, für die je ein Zertifikat ausgestellt wurde. Dies zeigt den vollständigen historischen Umfang der Infrastruktur einer Domain, einschliesslich Subdomains, die möglicherweise nicht mehr in DNS stehen.

Legitime Verwendungen: (1) Prüfen Sie Ihre eigene Angriffsoberflaeche - finden Sie vergessene Staging-Server, alte APIs oder Shadow-IT-Subdomains. (2) Sicherheitsbewertungen bei autorisiertem Penetrationstest. (3) Wettbewerbsanalyse - sehen Sie, welche Infrastruktur ein Konkurrent aufgebaut hat. (4) Bug-Bounty-Reconnaissance - die meisten Programme erlauben explizit CT-Log-Enumeration. (5) Verifizieren Sie die SSL-Zertifikatsausstellung - bestaetigen Sie, dass nur autorisierte CAs Zertifikate für Ihre Domain ausstellen. Dieses Tool verwendet nur öffentliche CT-Log-Daten - kein aktives Scannen Ihrer Server.

*.example.com (Wildcard)-Zertifikate decken alle First-Level-Subdomains ab, zeigen aber nicht, welche spezifischen Subdomains existieren - nur dass Wildcards verwendet werden. Wenn Sie *.example.com in den Ergebnissen sehen, wurde ein Wildcard-Zertifikat ausgestellt, aber die tatsächlichen Live-Subdomains werden durch diese Methode nicht erkennbar. Nicht-Wildcard-Zertifikate listen spezifische Subdomains auf. Eine hohe Anzahl spezifischer Subdomains plus Wildcards deutet oft auf eine große, komplexe Infrastruktur hin.

Unerwartete Subdomains können hinweisen auf: (1) Vergessene Staging- oder Entwicklungsumgebungen - prüfen und ausmustern, wenn unused. (2) Shadow IT - Teams, die Infrastruktur ohne Wissen der zentralen IT eingesetzt haben. (3) Subdomain-Takeover-Risiko - wenn das DNS einer Subdomain noch auf einen Cloud-Dienst zeigt, den Sie nicht mehr kontrollieren. (4) Alte Zertifikatsausstellungen für migrierte Dienste. Für jede unerwartete Subdomain: prüfen Sie, ob DNS sie noch aufloest, ob Sie den Server noch kontrollieren, und entfernen Sie DNS-Einträge für ausgemusterte Dienste.

Certificate Transparency-Protokolle sind append-only und nahezu in Echtzeit - neue Zertifikate erscheinen typischerweise innerhalb von Minuten. crt.sh aggregiert Protokolle von allen großen CT-Log-Servern (Google, Cloudflare, DigiCert usw.). Das 'Last Seen'-Datum zeigt, wann das letzte Zertifikat protokolliert wurde, nicht ob die Subdomain derzeit aktiv ist. Eine Subdomain, die zuletzt 2020 gesehen wurde, könnte nicht mehr in DNS stehen - CT-Protokolle zeichnen den Verlauf der Zertifikatsausstellung auf, nicht den aktuellen DNS-Zustand.