Buscador de Subdominios

Cada vez que se emite un certificado SSL/TLS para un dominio o subdominio, se registra en los registros públicos de Certificate Transparency (CT), un requisito para todas las CAs públicamente de confianza desde 2018. Estos registros son de búsqueda pública. Al consultar crt.sh (un agregador de registros CT), podemos encontrar cada subdominio para el que alguna vez se haya emitido un certificado. Esto revela el alcance histórico completo de la infraestructura de un dominio, incluidos subdominios que ya no están en DNS pero aún existen en el servidor.

Usos legítimos: (1) Audite su propia superficie de ataque: encuentre servidores de staging olvidados, APIs antiguas o subdominios de TI en la sombra. (2) Evaluaciones de seguridad durante pruebas de penetración autorizadas. (3) Investigación competitiva: vea qué infraestructura ha construido un competidor. (4) Reconocimiento de bug bounty: la mayoría de los programas permiten explícitamente la enumeración de registros CT. (5) Verificar la emisión de certificados SSL: confirme que solo las CAs autorizadas emiten certificados para su dominio. Esta herramienta solo usa datos públicos de registros CT; no realiza escaneos activos ni sondeos de sus servidores.

Los certificados *.example.com (comodín) cubren todos los subdominios de primer nivel pero no revelan qué subdominios específicos existen: solo que los comodines están en uso. Si ve *.example.com en los resultados, significa que se emitió un certificado comodín, pero los subdominios activos reales no se revelan por este método. Los certificados no comodín enumeran subdominios específicos.

Los subdominios inesperados pueden indicar: (1) Entornos de staging o desarrollo olvidados: audite y dé de baja si no se usan. (2) TI en la sombra: equipos que desplegaron infraestructura sin conocimiento del departamento de TI central. (3) Riesgo de apropiación de subdominios: si el DNS de un subdominio sigue apuntando a un servicio en la nube (Heroku, S3, GitHub Pages) que ya no controla, los atacantes pueden reclamarlo. Para cada subdominio inesperado: compruebe si DNS aún lo resuelve, verifique que aún controla el servidor y elimine los registros DNS de los servicios dados de baja.

Los registros de Certificate Transparency son de solo adición y casi en tiempo real: los nuevos certificados suelen aparecer en minutos. crt.sh agrega registros de todos los principales servidores de registros CT (Google, Cloudflare, DigiCert, etc.). La fecha de «Última vez visto» refleja cuándo se registró el certificado más reciente, no si el subdominio está activo actualmente. Un subdominio visto por última vez en 2020 puede que ya no esté en DNS o tenga un certificado caducado.