Expect-CT header
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Der Expect-CT Response-Header ermöglicht es Websites, die Einhaltung und/oder Meldung von Anforderungen an die Certificate Transparency zu aktivieren. Certificate Transparency (CT) zielt darauf ab, die unbemerkte Verwendung von falsch ausgestellten Zertifikaten für diese Seite zu verhindern.
Nur Google Chrome und andere auf Chromium basierende Browser haben Expect-CT implementiert. Chromium hat den Header ab Version 107 als veraltet markiert, da Chromium nun CT standardmäßig erzwingt. Siehe das Chrome Platform Status Update.
CT-Anforderungen können über einen der folgenden Mechanismen erfüllt werden:
- X.509v3-Zertifikaterweiterung, um das Einbetten von signierten Zertifikatstimestamps von individuellen Logs zu ermöglichen. Die meisten online verwendeten TLS-Zertifikate von öffentlich vertrauenswürdigen CAs enthalten eingebettetes CT.
- Eine TLS-Erweiterung vom Typ
signed_certificate_timestamp, die während des Handshakes gesendet wird. - Unterstützung von OCSP-Stapling (das heißt, die
status_requestTLS-Erweiterung) und Bereitstellung einerSignedCertificateTimestampList.
Hinweis:
Wenn eine Website den Expect-CT Header aktiviert, wird damit vom Browser verlangt, dass jedes Zertifikat für diese Website in öffentlichen CT-Logs erscheint.
Hinweis:
Browser ignorieren den Expect-CT Header über HTTP; der Header hat nur Auswirkungen auf HTTPS-Verbindungen.
Hinweis:
Der Expect-CT ist seit Juni 2021 größtenteils obsolet.
Seit Mai 2018 wird erwartet, dass alle neuen TLS-Zertifikate standardmäßig SCTs unterstützen.
Zertifikate, die vor März 2018 ausgestellt wurden, durften eine Laufzeit von 39 Monaten haben, sodass sie im Juni 2021 abgelaufen waren.
Chromium plant, den Expect-CT Header zu verwerfen und schließlich zu entfernen.
| Header-Typ | Response-Header |
|---|---|
| Verbotener Anfrage-Header | Ja |
Syntax
Expect-CT: report-uri="<uri>",
enforce,
max-age=<age>
Direktiven
max-age-
Die Anzahl der Sekunden nach Empfang des
Expect-CTHeaderfeldes, während derer der User Agent den Host der empfangenen Nachricht als bekanntenExpect-CTHost betrachten soll.Wenn ein Cache einen Wert erhält, der größer ist als er darstellen kann, oder wenn eine seiner nachfolgenden Berechnungen überläuft, wird der Cache diesen Wert entweder als 2.147.483.648 (2^31) oder als größte positive ganze Zahl ansehen, die er darstellen kann.
report-uri="<uri>"Optional-
Die URI, an die der User Agent
Expect-CT-Fehler melden soll.Wenn zusammen mit der
enforce-Direktive vorhanden, wird die Konfiguration als "enforce-and-report"-Konfiguration bezeichnet, die dem User Agent signalisiert, dass die Einhaltung der Certificate Transparency-Richtlinie sowohl durchgesetzt als auch Verstöße gemeldet werden sollen. enforceOptional-
Signalisiert dem User Agent, dass die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt werden soll (anstatt nur die Einhaltung zu melden) und dass der User Agent zukünftige Verbindungen ablehnen soll, die gegen seine Certificate Transparency-Richtlinie verstoßen.
Wenn sowohl die
enforce-Direktive als auch diereport-uri-Direktive vorhanden sind, wird die Konfiguration als "enforce-and-report"-Konfiguration bezeichnet, die dem User Agent signalisiert, dass die Einhaltung der Certificate Transparency-Richtlinie sowohl durchgesetzt als auch Verstöße gemeldet werden sollen.
Beispiel
Das folgende Beispiel spezifiziert die Durchsetzung der Certificate Transparency für 24 Stunden und meldet Verstöße an foo.example.com.
Expect-CT: max-age=86400, enforce, report-uri="https://foo.example.com/report"
Hinweise
Manuell zum Trust-Store hinzugefügte Root-CAs überschreiben und unterdrücken Expect-CT-Berichte/Durchsetzungen.
Browser werden sich eine Expect-CT-Richtlinie nicht merken, es sei denn, die Seite hat 'bewiesen', dass sie ein Zertifikat bereitstellen kann, das die Anforderungen der Certificate Transparency erfüllt. Browser implementieren ihr eigenes Vertrauensmodell, welche CT-Logs als vertrauenswürdig angesehen werden, damit das Zertifikat geloggt wurde.
Builds von Chrome sind so konzipiert, dass sie die Expect-CT-Richtlinie 10 Wochen nach dem Erstellungsdatum der Installation nicht mehr durchsetzen.
Spezifikationen
| Specification |
|---|
| Expect-CT Extension for HTTP # section-2.1 |
Browser-Kompatibilität
Siehe auch
- Sichere Kontexte
- Glossareinträge: