証明書透明性 (CT) ログ

デンマーク語で見る

ドイツ語で見る

スペイン語で見る

フランス語で見る

ヘブライ語で見る

ハンガリー語で見る

日本語で表示する

韓国語で見る

ロシア語で見る

ウクライナ語で見る

簡体字中国語ページを読む

繁体字中国語でこのページを読む。

最終更新日: 2023年9月25日 | すべてのドキュメントを見る

証明書透明性 (CT) は、TLS証明書の発行をログ記録および監視するためのシステムです。CTは、証明書の発行を監視および調査する能力を大幅に向上させ、これらの機能により、CAエコシステムとWebセキュリティに多くの改善がもたらされました。その結果、CTは急速に重要なインフラストラクチャになりつつあります。

Let's Encryptは、発行するすべての証明書をCTログに送信します。「Oak」とSaplingという名前の、毎年シャード化される2つのCTログも運用しています。すべての公開的に信頼されている認証局は、当社のログに送信することを歓迎します。多くの認証局ルート証明書がすでに当社のCTログに含まれています。認証局を運営していて、発行者が当社の承認済み発行者リストにない場合は、こちらで問題を報告してください。

当社のコミュニティフォーラムのCTアナウンスメントカテゴリで通知に登録して、当社のCTログに関する主要なアナウンスをご覧ください。

資金調達

貴組織がこの作業の継続に協力したい場合は、スポンサーシップまたは寄付をご検討ください。

アーキテクチャ

ブログでLet's EncryptがCTログをどのように運用しているかをご覧ください！

ログ監視

Let's Encryptは、「CT Woodpecker」というオープンソースのCTログ監視ツールを作成しました。このツールを使用して、独自のログの安定性とコンプライアンスを監視しており、他の人にも役立つことを願っています。

CTログ

CTログが進むさまざまなライフサイクル状態に関する情報は、こちらにあります。

本番環境

• Oakは、AppleとGoogleのCTプログラムに組み込まれています。
• 当社の本番ACME API環境は、ここに証明書を送信します。
• • 名前: Oak 2019
    URI: https://oak.ct.letsencrypt.org/2019
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEFkqNKRuZ+Z8IOsnNJrUZ8gwp+KKGOdQrJ/HKhSadK/SJuoCc9+dxQ7awpmWIMr9SKcQeG5uRzG1kVSyFN4Wfcw==
    ログID: 65:9B:33:50:F4:3B:12:CC:5E:A5:AB:4E:C7:65:D3:FD:E6:C8:82:43:77:77:78:E7:20:03:F9:EB:2B:8C:31:29
    ウィンドウ開始: 2019-01-01T00:00Z
    ウィンドウ終了: 2020-01-07T00:00Z
    状態: 拒否済み - シャード期限切れ
  • 名前: Oak 2020
    URI: https://oak.ct.letsencrypt.org/2020
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEfzb42Zdr/h7hgqgDCo1vrNJqGqbcUvJGJEER9DDqp19W/wFSB0l166hD+U5cAXchpH8ZkBNUuvOHS0OnJ4oJrQ==
    ログID: E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E
    ウィンドウ開始: 2020-01-01T00:00Z
    ウィンドウ終了: 2021-01-07T00:00Z
    状態: 拒否済み - シャード期限切れ
  • 名前: Oak 2021
    URI: https://oak.ct.letsencrypt.org/2021
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELsYzGMNwo8rBIlaklBIdmD2Ofn6HkfrjK0Ukz1uOIUC6Lm0jTITCXhoIdjs7JkyXnwuwYiJYiH7sE1YeKu8k9w==
    ログID: 94:20:BC:1E:8E:D5:8D:6C:88:73:1F:82:8B:22:2C:0D:D1:DA:4D:5E:6C:4F:94:3D:61:DB:4E:2F:58:4D:A2:C2
    ウィンドウ開始: 2021-01-01T00:00Z
    ウィンドウ終了: 2022-01-07T00:00Z
    状態: 拒否済み - シャード期限切れ
  • 名前: Oak 2022
    URI: https://oak.ct.letsencrypt.org/2022
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEhjyxDVIjWt5u9sB/o2S8rcGJ2pdZTGA8+IpXhI/tvKBjElGE5r3de4yAfeOPhqTqqc+o7vPgXnDgu/a9/B+RLg==
    ログID: DF:A5:5E:AB:68:82:4F:1F:6C:AD:EE:B8:5F:4E:3E:5A:EA:CD:A2:12:A4:6A:5E:8E:3B:12:C0:20:44:5C:2A:73
    ウィンドウ開始: 2022-01-01T00:00Z
    ウィンドウ終了: 2023-01-07T00:00Z
    状態: 拒否済み - シャード期限切れ
  • 名前: Oak 2023
    URI: https://oak.ct.letsencrypt.org/2023
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEsz0OeL7jrVxEXJu+o4QWQYLKyokXHiPOOKVUL3/TNFFquVzDSer7kZ3gijxzBp98ZTgRgMSaWgCmZ8OD74mFUQ==
    ログID: B7:3E:FB:24:DF:9C:4D:BA:75:F2:39:C5:BA:58:F4:6C:5D:FC:42:CF:7A:9F:35:C4:9E:1D:09:81:25:ED:B4:99
    ウィンドウ開始: 2023-01-01T00:00Z
    ウィンドウ終了: 2024-01-07T00:00Z
    状態: 拒否済み - シャード期限切れ
  • 名前: Oak 2024h1
    URI: https://oak.ct.letsencrypt.org/2024h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEVkPXfnvUcre6qVG9NpO36bWSD+pet0Wjkv3JpTyArBog7yUvuOEg96g6LgeN5uuk4n0kY59Gv5RzUo2Wrqkm/Q==
    ログID: 3B:53:77:75:3E:2D:B9:80:4E:8B:30:5B:06:FE:40:3B:67:D8:4F:C3:F4:C7:BD:00:0D:2D:72:6F:E1:FA:D4:17
    ウィンドウ開始: 2023-12-20T00:00Z
    ウィンドウ終了: 2024-07-20T00:00Z
    状態: 使用可能
  • 名前: Oak 2024h2
    URI: https://oak.ct.letsencrypt.org/2024h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE13PWU0fp88nVfBbC1o9wZfryUTapE4Av7fmU01qL6E8zz8PTidRfWmaJuiAfccvKu5+f81wtHqOBWa+Ss20waA==
    ログID: 3F:17:4B:4F:D7:22:47:58:94:1D:65:1C:84:BE:0D:12:ED:90:37:7F:1F:85:6A:EB:C1:BF:28:85:EC:F8:64:6E
    ウィンドウ開始: 2024-06-20T00:00Z
    ウィンドウ終了: 2025-01-20T00:00Z
    状態: 使用可能
  • 名前: Oak 2025h1
    URI: https://oak.ct.letsencrypt.org/2025h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEKeBpU9ejnCaIZeX39EsdF5vDvf8ELTHdLPxikl4y4EiROIQfS4ercpnMHfh8+TxYVFs3ELGr2IP7hPGVPy4vHA==
    ログID: A2:E3:0A:E4:45:EF:BD:AD:9B:7E:38:ED:47:67:77:53:D7:82:5B:84:94:D7:2B:5E:1B:2C:C4:B9:50:A4:47:E7
    ウィンドウ開始: 2024-12-20T00:00Z
    ウィンドウ終了: 2025-07-20T00:00Z
    状態: 使用可能
  • 名前: Oak 2025h2
    URI: https://oak.ct.letsencrypt.org/2025h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEtXYwB63GyNLkS9L1vqKNnP10+jrW+lldthxg090fY4eG40Xg1RvANWqrJ5GVydc9u8H3cYZp9LNfkAmqrr2NqQ==
    ログID: 0D:E1:F2:30:2B:D3:0D:C1:40:62:12:09:EA:55:2E:FC:47:74:7C:B1:D7:E9:30:EF:0E:42:1E:B4:7E:4E:AA:34
    ウィンドウ開始: 2025-06-20T00:00Z
    ウィンドウ終了: 2026-01-20T00:00Z
    状態: 使用可能
  • 名前: Oak 2026h1
    URI: https://oak.ct.letsencrypt.org/2026h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEmdRhcCL6d5MNs8eAliJRvyV5sQFC6UF7iwzHsmVaifT64gJG1IrHzBAHESdFSJAjQN56TYky+9cK616MovH2SQ==
    ログID: 19:86:D4:C7:28:AA:6F:FE:BA:03:6F:78:2A:4D:01:91:AA:CE:2D:72:31:0F:AE:CE:5D:70:41:2D:25:4C:C7:D4
    ウィンドウ開始: 2025-12-20T00:00Z
    ウィンドウ終了: 2026-07-20T00:00Z
    状態: 保留中
  • 名前: Oak 2026h2
    URI: https://oak.ct.letsencrypt.org/2026h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEanCds5bj7IU2lcNPnIvZfMnVkSmu69aH3AS8O/Y0D/bbCPdSqYjvuz9Z1tT29PxcqYxf+w1g5CwPFuwqsm3rFQ==
    ログID: AC:AB:30:70:6C:EB:EC:84:31:F4:13:D2:F4:91:5F:11:1E:42:24:43:B1:F2:A6:8C:4F:3C:2B:3B:A7:1E:02:C3
    ウィンドウ開始: 2026-06-20T00:00Z
    ウィンドウ終了: 2027-01-20T00:00Z
    状態: 保留中

テスト

• これらのログからのSCTは、公開的に信頼されている証明書に組み込むべきではありません。
• Let's Encryptの本番およびステージングACME API環境の両方で、証明書がSaplingに送信されますが、本番環境では結果のSCTは使用されません。
• 本番環境への展開前に、ここでTrillianとcertificate-transparency-goの新しいバージョンをテストしています。
• Saplingの承認済みルートリストには、Oakの承認済みルートすべてと、追加のテストルートが含まれています。
• Saplingは、他の認証局がテスト目的で使用できます。
• • 名前: Sapling 2022h2
    URI: https://sapling.ct.letsencrypt.org/2022h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE6m0gtMM2pcVTxVjkztm/ByNrF32xacdVnbsYwlzwtqN0vOwqcXLtPkfYqH+q93hlJwEBsX1MnRXDdlMHkkmZJg==
    ログID: 23:2D:41:A4:CD:AC:87:CE:D9:F9:43:F4:68:C2:82:09:5A:E0:9D:30:D6:2E:2F:A6:5D:DC:3B:91:9C:2E:46:8F
    ウィンドウ開始: 2022-06-15T00:00Z
    ウィンドウ終了: 2023-01-15T00:00Z
    
  • 名前: Sapling 2023h1
    URI: https://sapling.ct.letsencrypt.org/2023h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE09jAcGbw5CDCK2Kg0kkmmDydfDfZAA8K64BufU37yx3Jcy/ePy1EjAi2wUPVJ0xsaNMCU37mh+fBV3+K/cSG8A==
    ログID: C1:83:24:0B:F1:A4:50:C7:6F:BB:00:72:69:DC:AC:3B:E2:2A:48:05:D4:db:E0:49:66:C3:C8:ab:C4:47:B0:0C
    ウィンドウ開始: 2022-12-15T00:00Z
    ウィンドウ終了: 2023-07-15T00:00Z
    
  • 名前: Sapling 2023h2
    URI: https://sapling.ct.letsencrypt.org/2023h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbdCykRsTPRgfjKVQvINRLJk3gy+2qNKOU48bo/sWO0ko75S92C+PBDxsqMEd0YpCYYLogCt2LAK/U4H7UwHsjA==
    ログID: ED:AB:9D:1D:DD:83:73:95:9F:F5:2A:88:E4:6B:B4:BC:C3:C4:CC:4D:76:8A:60:CC:FF:4E:36:2D:7F:B8:D6:68
    ウィンドウ開始: 2023-06-15T00:00Z
    ウィンドウ終了: 2024-01-15T00:00Z
    
  • 名前: Sapling 2024h1
    URI: https://sapling.ct.letsencrypt.org/2024h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1Yn4OKJQuwEwo1/BeVBh1NYkQBnS8sYmMfQr/VdXOGqPcbwcpw0TtjJBYmn8FA+ZT7hnt7OfF4RTjLNW3bWOkw==
    ログID: AA:6C:B0:C5:C9:F4:C4:9D:8D:8E:A9:0C:39:17:E0:D7:0A:D9:22:10:BF:05:7F:41:50:93:82:CC:35:0C:98:46
    ウィンドウ開始: 2023-12-15T00:00Z
    ウィンドウ終了: 2024-07-15T00:00Z
    
  • 名前: Sapling 2024h2
    URI: https://sapling.ct.letsencrypt.org/2024h2
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEWipy8ZdRGs2Y5tBb8h8c4UUREnT/YMbm+FEUQBBScf85txhGRHNN/sNN0L/KDiGu/GsrOBCkDruDfHkD42eZXQ==
    ログID: 85:1B:AE:8E:EE:33:C1:B9:87:3F:C4:9C:7A:7C:27:65:66:3B:6B:80:63:03:04:0A:EC:A6:C1:11:A5:AB:E9:D7
    ウィンドウ開始: 2024-06-15T00:00Z
    ウィンドウ終了: 2025-01-15T00:00Z
    
  • 名前: Sapling 2025h1
    URI: https://sapling.ct.letsencrypt.org/2025h1
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE0orejUR5RSyoqJ0Hyu2gAwO6d9OPGtKgqQwdBMNGkKY1Bms1vzrHaUD5LDEvjB7Ug/ThaXz9eQH03w3jFii0uw==
    ログID: 21:E5:1A:44:D8:B9:E7:54:0E:A7:FB:E0:BA:D7:77:36:15:60:66:84:D1:5A:EB:33:E6:45:B4:E9:55:F3:88:83
    ウィンドウ開始: 2024-12-15T00:00Z
    ウィンドウ終了: 2025-07-15T00:00Z
    

Sunlight

• Let's Encryptは、Sunlightに基づいたログの運用をテストしています。
• これらのログからのSCTは、公開的に信頼されている証明書に組み込むべきではありません。
• Twigはテストログとして残され、Saplingと同じCAを受け入れます。
• WillowとSycamoreはOakと同じものを受け入れ、本番ログになる予定です。
• • 名前: Twig 2025h1b
    URI: https://twig.ct.letsencrypt.org/2025h1b
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE/d6uF9Yw5/3Lo4nJIdWqY0D9H/v/J/WHWqgl8gmTa6AKiBo5CFddHwlU3wj+pgaQm2OhzV2MnXZCOpbLxyk8LA==
    ログID: lZC9hfLPxQZJmKurW7JsLnoXZwKRHBO2i0gF4euUJ+8=
    ウィンドウ開始: 2024-12-17T00:00Z
    ウィンドウ終了: 2025-06-17T00:00Z
    
  • 名前: Twig 2025h2b
    URI: https://twig.ct.letsencrypt.org/2025h2b
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE1WZDmBaw9OoQTk8Yf/IvYkXPw6R6A+uBwHf1L4OrI4gsf/g5s9qtFEF6/NhG3R0+nxfha3apbUjdtNWln9yvkg==
    ログID: wF0gVDhcss+yF5INLw3Hg1JhR7GqT++Xynjh8LuE/O0=
    ウィンドウ開始: 2025-06-17T00:00Z
    ウィンドウ終了: 2025-12-16T00:00Z
    
  • 名前: Sycamore 2025h1b
    URI: https://sycamore.ct.letsencrypt.org/2025h1b
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAELnRI9kk9Ahd4T2qNIrqLPvf5lO44NBYwD9lwoV9MqerizPLRDEjzLw2GXa7MonZEXhcMABNHgViY6kb1LeBDJg==
    ログID: TgJ3oMtvarf2feceaghbLRgMKXeCS/tMK72dLNQR874=
    ウィンドウ開始: 2024-12-18T00:00Z
    ウィンドウ終了: 2025-06-18T00:00Z
    
  • 名前: Sycamore 2025h2b
    URI: https://sycamore.ct.letsencrypt.org/2025h2b
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEocuurm/JTMcynwKIeUHntdBm8OuLHcK6HgWD5wkE6JCcsPx1i1jAnULV8TSrzdzb8YSIx+VgFp+/YmqGUMHE5w==
    ログID: 94/yCGmtl2pDc7SsqLOyAxSOFO3mi+FBU1uhNot7qAY=
    ウィンドウ開始: 2025-06-18T00:00Z
    ウィンドウ終了: 2025-12-17T00:00Z
    
  • 名前: Willow 2025h1b
    URI: https://willow.ct.letsencrypt.org/2025h1b
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEbNmWXyYsF2pohGOAiNELea6UL4/XioI3w6ChE5Udlos0HUqM7KOHIP9qBuWCVs6VAdtDXrvanmxKq52Whh2+2w==
    ログID: IX7IijpQPODOtMQx74xNVMHVjB9SuiP0KekrE2jAgWE=
    ウィンドウ開始: 2024-12-19T00:00Z
    ウィンドウ終了: 2025-06-19T00:00Z
    
  • 名前: Willow 2025h2c
    URI: https://willow.ct.letsencrypt.org/2025h2c
    公開鍵: MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEaUvzqBm/C9pNUsVI1jqpms5OkW3Kk+Eb3/veW6P3ogOItkqqEvkZfU7zBbsvm1j1Ep003iNUGFOrilPl5TpCRg==
    ログID: kqECxXwi2rGMzCrnH9TMWcBdJR2hbHPiKBvT8LBImIc=
    ウィンドウ開始: 2025-06-19T00:00Z
    ウィンドウ終了: 2025-12-18T00:00Z
    

ログ操作

特定のCTログに含まれるルートを列挙するには、お好みのターミナルで次のコマンドを実行できます。

$ for i in $(curl -s https://oak.ct.letsencrypt.org/2020/ct/v1/get-roots | jq -r '.certificates[]'); do
    echo '------'; base64 -d <<< "${i}" | openssl x509 -inform der -noout -issuer -serial
done

証明書をCTログに提出する処理は、通常、認証局によって行われます。この処理を試してみたい場合は、まずお気に入りのウェブサイトから任意のPEMエンコードされた証明書を取得します。次のブロックをコピーして、ターミナルに貼り付けてください。

$ echo | \
openssl s_client \
    -connect "letsencrypt.org":443 \
    -servername "letsencrypt.org" \
    -verify_hostname "letsencrypt.org" 2>/dev/null | \
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > example.crt

証明書を提出する前に、特別な構造でJSONエンコードする必要があります。https://crt.sh/gen-add-chainで提供されているJSONジェネレーターを使用して、この作業を実行できます。crt.shユーティリティはJSONバンドルを返します。バンドルをコンピューターにダウンロードし、必要に応じてファイル名を変更し、次のコマンドを実行してadd-chain操作(RFC 6962 セクション4.1)を行い、証明書をCTログに提出します。出力には、実際にはSCTである署名が含まれます。署名については、後ほど詳しく説明します。

$ curl \
    -X POST \
   --data @example-json-bundle.json \
    -H "Content-Type: application/json" \
    -H "User-Agent: lets-encrypt-ct-log-example-1.0" \
   https://oak.ct.letsencrypt.org/2020/ct/v1/add-chain
{"sct_version":0,"id":"5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=","timestamp":1576689972016,"extensions":"","signature":"BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E"}

CTログがOak 2020シャードによって署名されたことを確認するには、上記コマンドのidフィールドを使用し、次のコマンドで処理します。これにより、CTログのログIDが出力されます。

$ base64 -d <<< "5xLysDd+GmL7jskMYYTx6ns3y1YdESZb8+DzS/JBVG4=" | xxd -p -c 64 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
E7:12:F2:B0:37:7E:1A:62:FB:8E:C9:0C:61:84:F1:EA:7B:37:CB:56:1D:11:26:5B:F3:E0:F3:4B:F2:41:54:6E

署名フィールドを使用して、証明書がログに提出されたことを検証できます。SCTの詳細ガイドを使用して、この値をさらにデコードすることもできます。

$ base64 -d <<< "BAMARzBFAiEA4OmuTcft9Jq3XLtcdZz9XinXCvYEY1RdSQICXayMJ+0CIHuujkKBLmQz5Cl/VG6C354cP9gxW0dfgMWB+A2yHi+E" | xxd -p -c 16 | sed -e 's/../&:/g' -e 's/:$//' | tr '[:lower:]' '[:upper:]'
04:03:00:47:30:45:02:21:00:E0:E9:AE:4D:C7:ED:F4
9A:B7:5C:BB:5C:75:9C:FD:5E:29:D7:0A:F6:04:63:54
5D:49:02:02:5D:AC:8C:27:ED:02:20:7B:AE:8E:42:81
2E:64:33:E4:29:7F:54:6E:82:DF:9E:1C:3F:D8:31:5B
47:5F:80:C5:81:F8:0D:B2:1E:2F:84