API-Dokumentation

CERTavia REST-API: Überblick für Enterprise-Kunden

Diese Seite gibt einen indikativen Überblick über die Struktur der CERTavia-API für die automatisierte Domain-Validierung. Die vollständige OpenAPI-Spezifikation mit API-Key und Endpunkt-Details wird im Rahmen des Enterprise-Onboardings bereitgestellt.

Hinweis zum Umfang dieser Seite

Übersicht, kein vollständiges Spezifikationsdokument

Die folgenden Angaben beschreiben die grundsätzliche Funktionsweise und Struktur der CERTavia-API auf Übersichtsebene. Exakte Feldnamen, Endpunkt-Pfade und Versionsdetails können sich bis zum Enterprise-Onboarding ändern. Die verbindliche, vollständige OpenAPI-Spezifikation erhalten Enterprise-Kunden nach Vertragsabschluss zusammen mit dem persönlichen API-Key.

Authentifizierung

API-Key per Header

API-Key-Vergabe

Der API-Key wird nach Abschluss eines Enterprise-Vertrags ausgestellt und ist an die vertraglich vereinbarte Domain-Anzahl gebunden. Es gibt keinen Self-Service-API-Zugang unterhalb des Enterprise-Pakets.

Übermittlung

Der API-Key wird als Header-Wert übermittelt (vergleichbar mit Authorization: Bearer <api_key>). Die exakte Header-Bezeichnung wird mit der vollständigen Spezifikation beim Onboarding mitgeteilt.

Scan auslösen

Scan-Trigger-Endpunkt

Ein POST-Aufruf mit der zu prüfenden Domain löst einen vollständigen Scan über alle 80+ Parameter in 6 Clustern aus. Der Scan läuft asynchron; das Ergebnis ist nach Abschluss über denselben Vorgang abrufbar oder wird per Webhook zugestellt (siehe unten).

Indikatives Beispiel für die Aufrufstruktur:

POST /v1/scans
Body: { "domain": "example.com" }

Response-Struktur

JSON-Response: indikative Feldübersicht

Die Response eines abgeschlossenen Scans folgt im Kern dieser Struktur. Exakte Feldnamen und verschachtelte Strukturen können in der finalen Spezifikation abweichen.

domain — geprüfte Domain
verdict — SOVP-CERTIFIED oder SOVP-FAILED
ces_score — Gesamt-Score über alle Cluster
clusters — Array mit Cluster-Scores und Einzelparametern
signature — kryptografische Signatur des Scan-Ergebnisses
vault_url — Sovereign-Vault-Link zum unabhängig verifizierbaren Nachweis
scanned_at — Zeitstempel der Validierung

Änderungsbenachrichtigung

Webhooks für Annual Subscription und Enterprise

Annual-Subscription- und Enterprise-Kunden können einen Webhook-Endpunkt hinterlegen, der bei einer Statusveränderung einer überwachten Domain (z. B. Wechsel von SOVP-CERTIFIED zu SOVP-FAILED nach einem automatischen Re-Scan) benachrichtigt wird. Die Konfiguration erfolgt im Rahmen des Onboardings gemeinsam mit dem API-Key.

Nutzungsgrenzen

Rate Limits

Die API ist für CI/CD-Integration und Portfolio-Monitoring ausgelegt, nicht für unbegrenzte Massenabfragen. Konkrete Rate Limits werden vertraglich im Rahmen des Enterprise-Pakets festgelegt und richten sich nach der vereinbarten Domain-Anzahl und dem Re-Scan-Rhythmus.

Den Kontext vertiefen

Weiterführende Seiten

Für IT-Leiter und CTOs →

CI/CD-Integration, SIEM-Anbindung und Notified-Body-Workflow im Überblick.

Wie CERTavia funktioniert →

Der deterministische Prüfprozess und das Validierungsverfahren erklärt.

Angebote und Preise →

Enterprise-Paket mit vollständigem API-Zugang.

API-Zugang anfragen

Vollständige Spezifikation nach Enterprise-Onboarding

Für API-Key, vollständige OpenAPI-Spezifikation und individuelle Rate Limits steht das Kontaktformular zur Verfügung.

API-Zugang anfragen Enterprise-Paket ansehen

Diese Seite beschreibt die API-Struktur auf Übersichtsebene und ist keine verbindliche technische Spezifikation. Felder, Pfade und Limits können sich bis zum Enterprise-Onboarding ändern.