CertDB：免费SSL证书搜索引擎与分析平台

什么是CertDB？

CertDB是一个面向SSL证书的互联网搜索引擎。简而言之，它解析证书并将不同字段编入索引，以便用户执行搜索查询。它索引以下常见信息：

| Others | 公钥、与域名相关的IP地址、有效期日期 | | Fingerprint | SHA1、SHA256和MD5 | | Extensions | 用途、主题密钥ID、授权密钥ID、ALT名称、证书策略 |

提取这些字段后，您可以查询并生成相关情报。这些字段可通过逻辑查询使用，并可组合成复杂查询。CertDB还提供原始证书、公钥和JSON格式的证书信息供下载。最近，他们已将Alexa排名与域名/IP地址集成，所有信息经过过滤并以列表形式提供——顶级域名、顶级组织、顶级国家、顶级发行者等。

其中一个令人兴奋的列表是“即将过期的证书”，您可以找到证书即将过期的域名/组织列表。这类信息在审计或评估公司数字足迹时非常方便。

实时更新

虽然文档说明CertDB持续扫描互联网上每个可访问的Web服务器，但实验室测试尚未得出结论。我已请求团队澄清，并在获得确认回复后作为访谈的一部分发布回应。但值得赞赏的是，一旦他们的扫描器检测到证书，信息几乎实时可供公众进行所需分析。

使用案例

虽然我们从数字证书中提取了所有信息，但必须通过GUI或API过滤结果以获取所需信息。GUI对所有用户开放，可通过搜索框执行此类查询，但要使用API，必须注册账户。

您可以在https://certdb.com/signup注册，系统将分配一个API密钥，允许每天执行1000次查询，每次查询最多返回1000条结果。

注册和接收API密钥只需30秒。以下是一些查询正确信息的示例：

• 搜索发行者“Godaddy”为“意大利地区”域名/公司颁发的证书：

• 颁发给子网或IP范围的证书（例如：Amazon全局IP范围：13.32.0.0/15）：

  1	cidr:"13.32.0.0/15" (示例：替换逗号为换行符，仅列出前10个结果 tr , '\n' | head -10)

• 未来十天内即将过期的证书：

  1	expiring:"10 days"

• Netflix组织未来七天内即将过期的证书：

  1	expiring:"7 days" organization:"Netflix"

• 过去五天内Safeway保险公司的新证书（通过API）：

  1	new:"5 days" organization:"Safeway Insurance Company"

在许多情况下，您可能希望了解过去颁发给公司的证书，或者公司是否最近获得了新域名/子域名并寻找新的业务线。如果我在进行评估，我可以想到以下有趣案例：

• 搜索所有子域名；site:example.com，然后根据第一个结果在循环中排除。从site:example.com -www到site:example.com -www -test。或者，使用威胁情报工具收集子域名并验证它们是否都有SSL证书。手动检查并报告某些域名是否未使用HTTPS（参考：如果您未使用HTTPS，Google将对您采取严厉措施！）

• 如果您在技术上评估一家公司，请检查其域名和组织。q=“organization:“Example Inc."，您会惊讶地发现有时公司不知道以其名义注册的域名，或者颁发的证书未及时续订。

quirks

虽然服务很棒，但团队仍在努力解决一些问题：

• 错误未自定义。如果API查询错误，它会转储大量调试数据，这些数据必须删除。
• API密钥无法重新生成或撤销。您可能需要联系CertDB支持以撤销它。
• API密钥可在GET请求中使用。不推荐这样做，因为它可能在多个跃点（例如：代理）缓存。
• 文档不全面，使用API调用时可能需要更详细的信息。
• 网站未提供API交互示例。我认为CertDB应编写一个页面，提供使用Python、CURL、Ruby、Perl和其他常见语言（包括JSON解析结果）的示例。

结论

我使用这项服务已有几周，我的坦率意见是它具有巨大潜力和用途。我在评估AWS实例和财富500强公司时使用这项服务。我还发现了一些客户即将过期的证书，并及时通知了他们。我强烈建议您查看并注册账户。您还可以设置cron作业来检查组织的日期/数字SSL足迹。

下一步：我将很快发布与他们的团队访谈，询问更多关于路线图、竞争和改进的细节。