certspotter と crt.sh 比較|選び方
目次
この記事でわかること
- certspotter と crt.sh が「同じ CT log を別の角度から触るツール」であること
- 5 つの軸(監視粒度 / リアルタイム性 / API / 通知方法 / 無料枠)の違い
- 個人 / 中小企業 / 法人別の推奨パターン
- 両方を併用する場合の役割分担
どちらも CT log を扱うが入口が違う
certspotter(SSLMate 社が提供)と crt.sh(Sectigo 社が提供)は、どちらも Certificate Transparency log(公開 SSL 証明書の台帳)を情報源にしています。CT log そのものの解説は CT log とは|中小企業向け を参照してください。
同じ台帳を見ているのに、ツールとしての性格はかなり違います。ざっくり言うと次のようになります。
- certspotter: 登録したドメインを 24 時間 365 日監視し、新しい証明書が発行されたらメールや Slack に通知してくれる「常時監視型」
- crt.sh: Web 画面で自分でドメインを入力して検索し、過去から現在までの証明書一覧を眺める「検索型」
どちらが上位互換というわけではなく、用途が違うので「どちらを選ぶか」ではなく「どう使い分けるか」で考えます。certspotter 単体の使い方は CertSpotter の使い方|ドメイン監視の始め方 にまとめています。
5 つの軸で比較する
実務で気になる 5 つの観点で並べてみます。
軸 1: 監視粒度
certspotter は登録したドメインと、その配下のサブドメイン全部(include_subdomains 相当)を自動で含めて監視します。example.co.jp を登録すれば shop.example.co.jp や mail.example.co.jp への発行も拾えます。
crt.sh は検索ベースなので、ワイルドカード %.example.co.jp を入れて自分で検索する必要があります。サブドメイン全件の棚卸しに使う場合は crt.sh でサブドメイン棚卸し も参考にしてください。
軸 2: リアルタイム性
certspotter は CT log の更新を継続的にポーリングし、新しい証明書を検知すると通知を飛ばします。無料 Public API でも数時間程度の遅延で気づけます。Pro プランならさらに短縮されます。
crt.sh は「気が向いたとき」に開いて検索する性格なので、リアルタイム性は人間がツールを開く頻度に依存します。週次の確認や、調査時のスポット利用が中心になります。
軸 3: API の使いやすさ
certspotter は SSLMate が公開している HTTP API があり、JSON で取得可能です。社内ダッシュボードや SIEM に取り込みたい場合に向きます。
crt.sh も同様に API(?output=json)を持っており、検索クエリを URL に渡すだけで JSON が返ります。ただし大量クエリは公開リソースを叩く形になるため、業務利用なら間隔を空けるなどの配慮が必要です。
軸 4: 通知方法
certspotter の無料 Public API はメール通知。Pro プランで Slack / Webhook 等のチャネル連携が選べます。
crt.sh には通知機能はありません。通知が欲しい場合は certspotter を選ぶか、crt.sh の API を自前のスクリプトで叩いて差分検知する仕組みを組む必要があります。
軸 5: 無料枠と料金
certspotter は無料 Public API で 1 ドメインを登録できる構成。複数ドメインを管理したい場合は Pro プラン(個別見積もり)になります。
crt.sh は完全無料の公開サービスです。Sectigo がコミュニティ貢献として運用しているため、課金プランはありません。その代わり、可用性や応答速度は SLA 対象外です。
個人 / 中小企業 / 法人の使い分け
実務での選び方は規模と用途で分かれます。
個人サイト / 小規模
- 自分のドメイン 1 件だけなら certspotter 無料 Public API で通知だけ受け取る
- crt.sh は「気になったときに開いて見る」程度
中小企業
- 主要ドメイン 1〜2 件を certspotter で常時監視
- 四半期に 1 回、crt.sh でサブドメイン全件をワイルドカード検索し、シャドー IT がないか棚卸し
- なりすましドメインの確認は aguse 代用ツール や ドメインなりすましチェック と組み合わせる
法人 / 複数ドメイン
- 全ドメインを certspotter Pro または自社運用の監視基盤に集約
- crt.sh はインシデント対応の調査ツールとして併用
- 自社で発行履歴を管理する場合は CAA レコードと組み合わせると、想定外の認証局からの発行も検知しやすい
併用するときの役割分担
certspotter と crt.sh を両方使うのは無駄ではなく、むしろ推奨パターンです。役割を分けて考えます。
- certspotter = 「夜間も含めた検知レイヤー」。通知が来たらまず確認
- crt.sh = 「調査と棚卸しのレイヤー」。インシデント時 / 定期棚卸し時に使う
certspotter で通知を受け取ったときの最初の確認手順は CertSpotter の使い方 に詳しいので、そちらに任せます。crt.sh は「過去の発行履歴を遡って怪しい証明書を探す」「同じ CN や SAN を持つ証明書を横串で見る」「特定の認証局からの発行を絞る」といった調査用途で力を発揮します。
よくある誤解
certspotter と crt.sh について、運用現場でよく見かける誤解を 3 つだけ整理しておきます。
誤解 1: 「certspotter を使えば crt.sh は不要」
検知用途では certspotter で十分ですが、過去の調査や横断検索は crt.sh の方が向いています。両方の役割が違うので「不要」にはなりません。
誤解 2: 「無料だから業務利用は怪しい」
certspotter の運営元 SSLMate と crt.sh の運営元 Sectigo はどちらも認証局や周辺サービスの実績ある企業です。無料 Public API としての位置付けが明確で、業務利用も実例が多くあります。可用性と SLA は別問題なので、業務クリティカルな用途では Pro 契約や自社基盤を検討します。
誤解 3: 「CT log にあれば本物の証明書」
CT log への記載は「発行された事実」を示すだけで、信頼性の保証ではありません。発行先が攻撃者のドメインでも、CT log には載ります。CT log の意味の正しい理解は CT log とは|中小企業向け を参照してください。
まとめ
- certspotter は通知型、crt.sh は検索型。同じ CT log を別の角度から扱う
- 中小企業の基本形は「certspotter で常時監視 + crt.sh で四半期棚卸し」
- 個人サイトなら certspotter 無料 Public API で十分、法人複数ドメインなら Pro や自社基盤を検討
- 検知と調査で役割を分けて両方使うのが結果的に効率的
まずは現状を把握しましょう
自社の SSL 証明書の有効期限と設定状況は、ドメイン番人の SSL 単発チェック で確認できます。メール認証も含めた総合点検は 無料診断 をご利用ください。
関連記事: CertSpotter の使い方 / CT log とは / ドメインなりすましチェック / aguse 代用ツール