问如何检查google ssl日志以检测我的域名的恶意-transparency证书

EN

证书透明度日志为explained on the CT site

简单网络服务，用于维护经过加密保证的、可公开审核的、仅附加的证书记录。任何人都可以向日志提交证书，尽管证书颁发机构可能是最重要的提交者。

以这种方式记录证书允许相关方(例如，域所有者)监视这些日志中的恶意/错误条目。

但是记录在CT日志中的证书并不意味着它不是一个坏的证书。正如CT网站上所解释的：

证书透明度依靠现有的缓解机制来解决有害证书和CAs -例如证书吊销--当发现有害证书或CA时，缩短的检测时间将加快整个缓解过程。

因此，CT不能帮助您确定证书是否是恶意的-您需要使用其他方法进行检查，例如检查证书吊销列表(CRL)或使用在线证书状态协议(OCSP)。请参阅此相关question on how to check certs。有些网站允许检查证书，例如revocationcheck.com。现代浏览器似乎越来越倾向于使用CRLs - Mozilla's now using CRLite的压缩列表，而Chrome uses CRLSets。

CT API允许您验证证书是否已记录在CT日志中，这意味着域名所有者可以监控它们，并及时将任何恶意/错误的证书插入到相关的CRL中，这样它们就不会再被使用。