Descubre subdominios desde certificados SSL/TLS

Todo certificado TLS emitido se registra en logs públicos de Certificate Transparency (CT), y el campo SANs de cada certificado lista los dominios que cubre. Buscar CT por un dominio objetivo es la forma pasiva más confiable de enumerar subdominios — incluyendo hosts de staging, paneles internos y entornos dev que el escaneo DNS pasa por alto.

Por qué los CT logs revelan subdominios

Cuando una CA emite un certificado TLS, debe enviarlo a múltiples CT logs (Chrome y Safari rechazan certificados sin loguear). La extensión Subject Alternative Names (SANs) del certificado lista cada hostname que cubre. Tanto el certificado como los SANs pasan permanentemente al log público.

Resultado: cuando alguien aprovisiona un certificado TLS para staging.example.com, internal.example.com o admin-old-2019.example.com, ese hostname queda públicamente descubrible para siempre — aunque el host se desmantele, aunque DNS deje de resolverlo, aunque el certificado haya expirado hace tiempo.

Paso a paso

1. Pruébalo en el navegador

Busca cualquier dominio abajo — CT Radar devuelve todo certificado emitido para ese dominio o sus subdominios.

Try: ···

2. Usa el CLI para salida en pipe

# install
$ go install github.com/imfht/ct-radar@latest
$ export CT_RADAR_KEY=<your-key>

# enumerate
$ ct-radar example.com
api.example.com
admin.example.com
internal.example.com
staging.example.com
dev-old.example.com
... 847 unique subdomains

3. Conecta con httpx para encontrar qué está vivo

$ ct-radar example.com | httpx -silent
https://api.example.com [200]
https://staging.example.com [403]
https://admin.example.com [401]
... 124 live hosts

4. Combina con enumeración activa

# CT (passive) + subfinder (passive DNS) + amass (active brute force)
$ {
    ct-radar example.com;
    subfinder -d example.com -silent;
    amass enum -passive -d example.com;
  } | sort -u | httpx -silent
... 1,247 live hosts

Tips y límites

CT no ve lo que nunca tuvo certificado. Los hosts internos que solo corren HTTP o usan CA privada no aparecen. Combina siempre CT con enumeración DNS activa.
Los certificados wildcard ocultan subdominios. Un certificado para *.example.com cubre todo pero no revela nada específico.
Los certificados viejos son oro. Incluso certificados expirados de 2018 pueden apuntar a hosts staging olvidados que siguen online.
Filtra wildcards en código. Al hacer pipe a otras herramientas, elimina entradas que empiecen con *. — rompen la mayoría de probes.
Let's Encrypt se retiró de CT en 2025, pero cada certificado LE sigue cologueado en logs de otros operadores, así que los subdominios emitidos por LE siguen visibles.

Empieza con una búsqueda

El plan gratuito cubre 100 búsquedas al día. La barra de búsqueda no requiere registro.

Buscar certificados →