Estoy experimentando con el escaneo de registros de transparencia de certificados para mis dominios, y me gustaría filtrar las entradas de registro para los certificados emitidos legítimamente, de modo que solo recibo alertas cuando alguien else obtenga un certificado para mi dominio.
Traté de averiguar si una entrada de registro de CT era mía comparando su huella digital con la huella digital del certificado en mi servidor. Sin embargo, encontré que algunas de las entradas en el registro son "pre-certificados", que tienen una extensión crítica adicional para que no sean válidas en los navegadores. Aparentemente, estos se consideran equivalentes al certificado final emitido por motivos de transparencia (por lo que parece una mala idea ignorar todos los certificados previos), pero su huella digital no coincide con la clave que tengo.
¿Cómo puedo determinar que dicho certificado previo es equivalente a un certificado emitido?