Sto sperimentando la scansione dei registri di trasparenza dei certificati per i miei domini e desidero filtrare le voci di registro per i certificati legittimamente emessi, così ricevo solo gli avvisi quando qualcuno altro riceve un certificato per il mio dominio.
Ho cercato di scoprire se una voce di registro CT era mia confrontando la sua impronta digitale con l'impronta digitale del certificato sul mio server. Tuttavia, ho trovato che alcune voci nel registro sono "pre-certificati", che hanno un'estensione critica extra per renderli non validi nei browser. Questi sono apparentemente considerati equivalenti al certificato finale rilasciato a fini di trasparenza (quindi sembra una cattiva idea ignorare tutti i pre-certificati), ma la loro impronta digitale non corrisponde alla chiave che ho.
Come posso determinare che tale pre-certificato sia equivalente a un certificato emesso?