Expect-CT

Der Expect-CT HTTP Header erlaubt es Webseiten, die Anforderungen der Certificate Transparency (kurz: CT) zu aktivieren und/oder zu erzwingen, um so der (unbemerkten) Verwendung falsch ausgestellter Zertifikate vorzubeugen.

CT-Anforderungen k√∂nnen erf√ľllt werden √ľber einen der nachstehenden Mechanismen:

  • X.509v3 certificate extension: signierte SCTs (SCT=signed certificate timestamp) werden direkt in das Zertifikat einbettet
  • Eine TLS-Erweiterung des Typs signed_certificate_timestamp wird w√§hrend des handshakes gesendet
  • OCSP stapling (√ľber die status_request TLS-Erweiterung) und das Bereitstellen einer SignedCertificateTimestampList mit einem oder mehreren SCTs

Wenn eine Webseite die Verwendung des Expect-CT Headers aktiviert, fordert sie den Browser dar√ľber auf, jedes im Zusammenhang mit der Webseite verwendete Zertifikat in √∂ffentlichen CT Protokollen nachzuschlagen.

Browsers ignorieren den Expect-CT Header bei HTTP-Verbindungen; der Header hat nur bei HTTPS-Verbindungen einen Effekt.

Expect-CT wird im Juni 2021 voraussichtlich obsolet werden. Seit Mai 2018 ist es erforderlich, dass neue ausgestellte Zertifikate standardm√§√üig SCTs unterst√ľtzen. √Ąltere Zertifikate, vor M√§rz 2018 ausgestellt, k√∂nnen eine G√ľltigkeitsdauer von 39 Monaten haben, wodurch sie alle im Juni 2021 ablaufen.

Header type Response header
Forbidden header name yes

Syntax

Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

 Direktiven

max-age

Die Anzahl der Sekunden nach dem Empfang des Expect-CT-Header-Feldes, während der der User-Agent den Host der empfangenen Nachricht als bekannten Expect-CT Host betrachten sollte.

Falls ein Cache einen Wert enth√§lt der gr√∂√üer ist, als dieser abbilden kann oder seine nachfolgenden Berechnungen √ľberlaufen, dann verwendet der Cache automatisch den f√ľr ihn gr√∂√ütm√∂glichen positiven Ganzzahlwert (integer) bzw. 2,147,483,648 (231).

report-uri="<uri>" Optional

Die URI wohin der Browser Expect-CT Fehler melden soll.

In Kombination mit der enforce Direktive wird die Konfiguration als sogenannte "enforce-and-report" (erzwinge und melde) gewertet, wodurch dem user agent signalisiert wird, dass sowohl die Einhaltung der Certificate Transparency Richtlinien erzwungen als auch jede Verletzung berichtet werden soll.
enforce Optional

Verlangt vom user agent, dass die Einhaltung der Certificate Transparency Richtlinien erzwungen werden soll (anstatt diese nur zu berichten). Gleichzeitig verweigert der user agent zuk√ľnftige Verbindungen, die gegen die Certificate Transparency Richtlinien versto√üen.

In Kombination mit den Direktiven enforce und report-uri wird die Konfiguration als sogenannte "enforce-and-report" (erzwinge und melde) gewertet, wodurch dem user agent signalisiert wird, dass sowohl die Einhaltung der Certificate Transparency Richtlinien erzwungen als auch jede Verletzung berichtet werden soll.

Beispiel

Dieses Beispiel legt fest, dass die Certificate Transparency f√ľr den Zeitraum von 24 Stunden erzwungen werden soll und jede Verletzung in dem Zusammenhang wird gemeldet an die angegebene URL unter foo.example.

Expect-CT: max-age=86400, enforce, report-uri="https://foo.example/report"

Hinweise

Root CAs, die manuell als vertrauensw√ľrdig festgelegt werden, √ľbersteuern und verhindern Expect-CT Berichte/Durchsetzung.

Browser merken sich eine Expect-CT Richtlinie nicht, au√üer eine Webseite hat bewiesen, dass sie Zertifikate bereitstellt, die den Certificate Transparency Anforderungen gen√ľgen. Browser implementieren ihre eigenen Modelle dar√ľber, welche CT-Protokolle diese f√ľr die Bewertung der Vertrauensw√ľrdigkeit heranziehen.

Google Chrome beispielsweise erzwingt eine Expect-CT Richtlinie nur f√ľr einen Zeitraum von 10 Wochen nach dem Build Datum.

Spezifikationen

Specification Title
Internet Draft Expect-CT Erweiterung f√ľr HTTP

Browser Unterst√ľtzung

BCD tables only load in the browser