Noen ganger lager vi nye domener og subdomener for funksjonalitet som enda ikke er lansert, eller selskaper som snart skal annonseres. Da kan det være greit å vite at det finnes noen mekanismer som sladrer på oss - og at sikkerhet er en av de viktigste grunnene til det!
Alle moderne nettsider trenger en kryptert tilkobling, noe vi får gjennom bruk av HTTPS. For å få det til å fungere må webserveren til nettsiden ha et sertifikat den kan presentere når man forsøker å gå til nettsiden. Dette sertifikatet må vi få fra en anerkjent organisasjon som det er enighet om at vi kan stole godt nok på til at de f.eks. ikke lager flere kopier av sertifikatet enn det vi har bestilt. Disse kaller vi Certificate Authorities, eller CA.
Ett av de viktigste verktøyene som brukes for å holde oversikt er Certificate Transparency Log. Dette er en logg av alle sertifikater en CA har laget. Ved å publisere denne oversikten er det mulig for hvem som helst å sjekke at CAene gjør jobben sin, og ikke utsteder sertifikater for uventede domener. Og når du kjøper et sertifikat kan du sjekke at bare det sertifikatet du ba om har blitt produsert.
Men, det betyr også at det er mulig å se alle domener det lages et sertifikat for. Med en gang et sertifikat lages, så blir dette publisert. Hvis vi går til crt.sh, så kan vi søke opp et domene, og få tilbake alle sertifikater tilhørende domenet. Det vil også inkludere alle subdomener for domenet. Et søk på bekk.no forteller oss for eksempel at at vi har tjenester som heter fagdag.bekk.no og interntid.bekk.no.
Dette kan selvsagt være en trussel for oss dersom vi har belaget oss på at subdomenene våre skal være hemmelige. Det er trivielt for en angriper å finne de fleste subdomener man har satt opp.
En mulig måte å hindre dette på – som jeg fraråder på det sterkeste – er å bruke wildcard-sertifikater. Dette er sertifikater som gjelder for alle subdomener: *.example.com gjelder for eksempel for heioghopp.example.com. Det er imidlertid en rekke sikkerhetsutfordringer med bruk av wildcard-sertifikater. Den viktigste er at hvis man mister kontroll over sertifikatet, så må man i praksis slutte å bruke domenet sitt inntil sertifikatet løper ut. Så denne løsningen blir som å pisse i buksa for å holde seg varm.
Det er også mulig å finne domener som er registrert til et firma, uten å vite noe om domenet. For .no-domener kan man gå til oppslagstjenesten til Norid, og søke på organisasjonsnummer. Der finner vi ut at Bekk eier domenet bekkrobot.no 🤖. På grunn av denne muligheten er det mange som lar reklamebyråer registrere domenenavn før man lanserer en kampanje eller endrer navn på selskapet sitt – noe det selvsagt også er mulig å overvåke, dog mer komplisert.
Alt i alt er lærdommen at det er vanskelig å holde et domenenavn hemmelig, så det er best å ikke basere seg på at man kan klare det.