1. Web
  2. HTTP
  3. Référence
  4. En-têtes
  5. Expect-CT

Cette page a été traduite à partir de l'anglais par la communauté. Vous pouvez contribuer en rejoignant la communauté francophone sur MDN Web Docs.

View in English Always switch to English

En-tête Expect-CT

Obsolète: Cette fonctionnalité n'est plus recommandée. Même si certains navigateurs la prennent encore en charge, elle a peut-être déjà été supprimée des standards du web, est en passe d'être supprimée ou n'est conservée qu'à des fins de compatibilité. Évitez de l'utiliser et mettez à jour le code existant si possible ; consultez le tableau de compatibilité au bas de cette page pour vous aider à prendre votre décision. Sachez que cette fonctionnalité peut cesser de fonctionner à tout moment.

L'en-tête de réponse Expect-CT permet aux sites d'activer la déclaration et/ou l'application des exigences de la transparence des certificats. La transparence des certificats (CT) vise à empêcher l'utilisation de certificats mal émis pour ce site de passer inaperçue.

Seul Google Chrome et les autres navigateurs basés sur Chromium ont implémenté Expect-CT, et Chromium a déprécié cet en-tête à partir de la version 107, car Chromium applique désormais CT par défaut. Voir la mise à jour sur le statut de la plateforme Chrome (angl.).

Les exigences CT peuvent être satisfaites par l'un des mécanismes suivants :

  • Extension de certificat X.509v3 permettant d'intégrer des horodatages de certificats signés émis par des journaux individuels. La plupart des certificats TLS émis par des AC publiques de confiance et utilisés en ligne contiennent un CT intégré.
  • Extension TLS de type signed_certificate_timestamp envoyée lors de l'établissement de la connexion
  • Prise en charge de l'OCSP stapling (c'est-à-dire l'extension TLS status_request) et fourniture d'une SignedCertificateTimestampList

Note : Lorsqu'un site active l'en-tête Expect-CT, il demande au navigateur de vérifier que tout certificat pour ce site apparaît dans les journaux CT publics (angl.).

Note : Les navigateurs ignorent l'en-tête Expect-CT sur HTTP ; l'en-tête n'a d'effet que sur les connexions HTTPS.

Note : Expect-CT est principalement obsolète depuis juin 2021. Depuis mai 2018, tous les nouveaux certificats TLS doivent prendre en charge les SCT par défaut. Les certificats émis avant mars 2018 pouvaient avoir une durée de vie de 39 mois, ils ont donc expiré en juin 2021. Chromium prévoit de déprécier l'en-tête Expect-CT et de le supprimer à terme.

Type d'en-tête En-tête de réponse

Syntaxe

http
Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

Directives

max-age

Le nombre de secondes après la réception du champ d'en-tête Expect-CT pendant lesquelles l'agent utilisateur doit considérer l'hôte du message reçu comme un hôte Expect-CT connu.

Si un cache reçoit une valeur supérieure à ce qu'il peut représenter, ou si l'un de ses calculs ultérieurs déborde, le cache considérera cette valeur comme étant soit 2 147 483 648 (2^31), soit le plus grand entier positif qu'il peut représenter.

report-uri="<uri>" Facultatif

L'URI où l'agent utilisateur doit signaler les échecs Expect-CT.

Lorsqu'elle est présente avec la directive enforce, la configuration est appelée « enforcement et rapport », indiquant à l'agent utilisateur que la conformité à la politique de transparence des certificats doit être appliquée et que les violations doivent être signalées.

enforce Facultatif

Indique à l'agent utilisateur que la conformité à la politique de transparence des certificats doit être appliquée (plutôt que seulement signalée) et que l'agent utilisateur doit refuser les connexions futures qui violent cette politique.

Lorsque les directives enforce et report-uri sont toutes deux présentes, la configuration est appelée « enforcement et rapport », indiquant à l'agent utilisateur que la conformité à la politique de transparence des certificats doit être appliquée et que les violations doivent être signalées.

Exemples

L'exemple suivant définit l'application de la transparence des certificats pendant 24 heures et signale les violations à toto.exemple.com :

http
Expect-CT: max-age=86400, enforce, report-uri="https://toto.exemple.com/report"

Notes

Les autorités de certification racines ajoutées manuellement au magasin de confiance remplacent et suppriment les rapports/l'application de Expect-CT.

Les navigateurs ne retiendront pas une politique Expect-CT, sauf si le site a « prouvé » qu'il peut fournir un certificat satisfaisant aux exigences de transparence des certificats. Les navigateurs appliquent leur propre modèle de confiance concernant les journaux CT considérés comme fiables pour l'enregistrement du certificat.

Les versions de Chrome sont conçues pour arrêter d'appliquer la politique Expect-CT 10 semaines après la date de construction de l'installation.

Spécifications

Specification
Expect-CT Extension for HTTP
# section-2.1

Compatibilité des navigateurs

Voir aussi

Help improve MDN

Learn how to contribute

Cette page a été modifiée le par les contributeurs du MDN.

View this page on GitHubReport a problem with this content