「URLを誰にも教えてない」が通じない理由 — CTログを30分監視してみたWebサイト/アプリを公開するとき、「URLを誰にも教えていないから大丈夫」と油断していませんか? 結論から言うと、これは成り立ちません。 独自ドメインを取って HTTPS の証明書を発行すると、その時点でドメイン名は CT(Certificate Transparency)ログという公開ログに記録されます。 このログを監視しているbotは大量に存在していて、新しく現れたドメインに対して自動でアクセスを試みています。 実際にどんな景色になっているのか気になったので、CTログを30分間監視して、新規ドメインを観測してみました。 倫理・法律の境界線を守りながら、外から見える範囲だけで観測した結果です。 TL;DR 30分のCTログ監視で 88,450件 の証明書発行イベント、その中から直近2日以内に登録された個人/小規模ドメイン 62件を抽出 そのうち、実際にアプリが動いていたサイトは7件(1
