Expect-CT
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Der Expect-CT Response-Header ermöglicht es Websites, die Berichterstattung und/oder Durchsetzung der Anforderungen an die Certificate Transparency zu aktivieren. Certificate Transparency (CT) zielt darauf ab, die unbemerkte Verwendung von fehlerhaften Zertifikaten für diese Website zu verhindern.
Nur Google Chrome und andere auf Chromium basierende Browser haben Expect-CT implementiert, und Chromium hat den Header ab Version 107 veraltet, da Chromium jetzt standardmäßig CT durchsetzt. Siehe das Chrome Platform Status Update.
CT-Anforderungen können durch einen der folgenden Mechanismen erfüllt werden:
- X.509v3-Zertifikatserweiterung, um das Einbetten von unterzeichneten Zertifikatsstempeln, die von einzelnen Logs ausgestellt wurden, zu ermöglichen. Die meisten online verwendeten TLS-Zertifikate, die von öffentlich vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden, enthalten eingebettetes CT.
- Eine TLS-Erweiterung vom Typ
signed_certificate_timestamp, die während des Handshakes gesendet wird - Unterstützung von OCSP-Stapling (das heißt, die
status_requestTLS-Erweiterung) und Bereitstellung einerSignedCertificateTimestampList
Hinweis:
Wenn eine Website den Expect-CT Header aktiviert, fordert sie den Browser auf zu überprüfen, ob ein Zertifikat für diese Website in öffentlichen CT-Logs erscheint.
Hinweis:
Browser ignorieren den Expect-CT Header über HTTP; der Header hat nur Auswirkungen auf HTTPS-Verbindungen.
Hinweis:
Der Expect-CT ist größtenteils seit Juni 2021 veraltet.
Seit Mai 2018 wird erwartet, dass alle neuen TLS-Zertifikate standardmäßig SCTs unterstützen.
Zertifikate, die vor März 2018 ausgestellt wurden, durften eine Lebensdauer von 39 Monaten haben, sodass sie im Juni 2021 abgelaufen waren.
Chromium plant, den Expect-CT Header zu veralten und ihn schließlich zu entfernen.
| Headertyp | Response-Header |
|---|---|
| Verbotener Headername | Ja |
Syntax
Expect-CT: report-uri="<uri>",
enforce,
max-age=<age>
Direktiven
max-age-
Die Anzahl der Sekunden nach Empfang des
Expect-CTHeader-Feldes, während derer der User-Agent den Host der empfangenen Nachricht als bekanntenExpect-CTHost betrachten soll.Wenn ein Cache einen Wert erhält, der größer ist als er darstellen kann, oder wenn eine seiner nachfolgenden Berechnungen überläuft, wird der Cache diesen Wert entweder als 2.147.483.648 (2^31) oder als die größte positive ganze Zahl betrachten, die er darstellen kann.
report-uri="<uri>"Optional-
Die URI, an die der User-Agent
Expect-CTFehler melden soll.Wenn sie zusammen mit der
enforceDirektive vorhanden ist, wird die Konfiguration als "enforce-and-report" Konfiguration bezeichnet, was dem User-Agent signalisiert, dass sowohl die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt als auch Verstöße gemeldet werden sollen. enforceOptional-
Signalisiert dem User-Agent, dass die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt werden soll (anstatt nur die Einhaltung zu melden) und dass der User-Agent zukünftige Verbindungen ablehnen soll, die gegen seine Certificate Transparency-Richtlinie verstoßen.
Wenn sowohl die
enforceDirektive als auch diereport-uriDirektive vorhanden sind, wird die Konfiguration als "enforce-and-report" Konfiguration bezeichnet, die dem User-Agent signalisiert, dass sowohl die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt als auch Verstöße gemeldet werden sollen.
Beispiel
Das folgende Beispiel spezifiziert die Durchsetzung von Certificate Transparency für 24 Stunden und meldet Verstöße an foo.example.com.
Expect-CT: max-age=86400, enforce, report-uri="https://foo.example.com/report"
Anmerkungen
Von Benutzern manuell hinzugefügte Stammzertifizierungsstellen im Trust Store überschreiben und unterdrücken Expect-CT Berichte/Durchsetzungen.
Browser werden sich an eine Expect-CT Richtlinie nicht erinnern, es sei denn, die Website hat "bewiesen", dass sie ein Zertifikat bereitstellen kann, das die Anforderungen an die Certificate Transparency erfüllt. Browser implementieren ihr eigenes Vertrauensmodell in Bezug darauf, welche CT-Logs als vertrauenswürdig angesehen werden, damit ein Zertifikat dort protokolliert wurde.
Builds von Chrome sind so konzipiert, dass sie die Durchsetzung der Expect-CT Richtlinie 10 Wochen nach dem Erstellungsdatum der Installation einstellen.
Spezifikationen
| Specification |
|---|
| Expect-CT Extension for HTTP # section-2.1 |
Browser-Kompatibilität
BCD tables only load in the browser
Siehe auch
- Sichere Kontexte
- Glossarbegriffe: