Monitorear Certificate Transparency logs revisando que solo haya certificados nuestros
Certificate Transparency es un coso que las autoridades de certificados están obligadas a seguir (creo), estableciendo un registro (verificable criptográficamente, a la blockchain/merkle tree) de todos los certificados que expidieron.
En un mundo ideal, podemos confiar en las autoridades y los métodos que usan para verificar a sus usuarixs al generar certificados. En la práctica, eso no pasa. Las autoridades pueden abusar (ha pasado varias veces) y crear certificados a tu nombre, o el método puede no ser apropiadamente seguro. Por ejemplo, LE verifica por defecto via HTTP, confiando en que la IP en el DNS es tuya. Esto no es siempre verdad (nulo.in está en la conexión de mi casa y no tiene una IP estable, por lo que seguro hay períodos en donde nulo.in apuntó a la IP de unx vecinx). (este caso específico se puede prevenir por algo que activaron hace 8 días
La idea es monitorear estos registros verificando que en ningún momento aparece un dominio nuestro que no sea nuestro certificado. Esto no es algo nuevo (¡en serio pensé que había sido ingenioso!), existen otras herramientas incluyendo la de Cloudflare. El problema es que parece que son todas propietarias, y la de Cloudflare que parece gratuita te manda una notificación cada vez que cualquier dominio tiene un certificado nuevo, sin dejarte filtrar excluyendo los que realmente son tuyos.