Bonjour, https://crt.sh/ permet de faire une recherche avancée, si vous connaissez le nom de la CA et/ou son ID, et de lister les certificats connus liés. Exemple avec ISRG Root X1, autorité racine de Let's Encrypt :
https://crt.sh/?Identity=%25&iCAID=7394 -- Florian STOSSE | Ingénieur en sécurité informatique Le jeu. 19 sept. 2024 à 12:38, Frederic Dumas <f.du...@ellis.siteparc.fr> a écrit : > > Bonjour à tous, > > comment faire s'afficher en résultat sur Google ou un autre moteur de > recherche, les sites web protégés par une autorité de certification en > particulier ? > > J'ai essayé d'utiliser en mot clé des éléments tirés de la chaine de > certification ssl/tls, mais ça ne marche pas, les résultats sont noyés par > les pages web de l'autorité de certification elle-même. La recheche ne > renvoie pas les sites web dont les certificats ssl sont signés par cette > autorité. > > Ce n'est pas mon cas d'usage exact, mais une utilité de ce genre de > recherche pourrait être d'identifier des sites protégés par Entrust, par > exemple. > > Les logs "certificate transparency" pourraient être une piste, mais des > outils comme crt.sh ne semblent pas conçus pour sortir des listes, des > relations, mais seulement des certificats pris individuellement, à > condition de connaître déjà un élément distinctif, comme par exemple leur > numéro de série ou leur hash digest. > > > Quelqu'un saura peut-être ici comment construire une requête Google pour > mettre le focus sur la chaine de validation ssl ? > > Merci. > > -- > Frédéric Dumas > f.du...@ellis.siteparc.fr > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
