Expect-CT ヘッダーは、サイトが認証透過性の要件の報告や強制に参加して、サイトの不正な認証情報が通知されない状態を防ぐことができます。サイトが Expect-CT ヘッダーを有効にすると、ブラウザーが公開 CT ログに現れるサイトのすべての認証情報をチェックするよう要求します。

ヘッダー種別 レスポンスヘッダー
禁止ヘッダー名 はい

構文

Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

ディレクティブ

max-age

Expect-CT ヘッダーフィールドを受信した後で、ユーザーエージェントがメッセージを受信したホストを、既知の Expect-CT ホストと見なすべき時間を秒数で指定します。

キャッシュが表現可能な値よりも大きな値を受信した場合や、計算でオーバーフローが発生した場合、キャッシュは値を 2147483648 (2^31) または使用している表現方法で最も大きな整数値とみなします。

report-uri="<uri>" Optional

ユーザーエージェントが Expect-CT の失敗を報告する URI を指定します。

enforce ディレクティブと report-uri ディレクティブが両方ともある場合、設定は "enforce-and-report" の設定と呼ばれ、ユーザーエージェントに認証透過性ポリシーに従い、違反を報告することを指示します。

enforce Optional

ユーザーエージェントに (報告するだけでなく) 認証透過性ポリシーに従い、ユーザーエージェントが認証透過性ポリシーに違反するコネクションを拒否するよう指示します。

enforce ディレクティブと report-uri ディレクティブが両方ともある場合、設定は "enforce-and-report" の設定と呼ばれ、ユーザーエージェントに認証透過性ポリシーに従い、違反を報告することを指示します。

以下の例は認証透過性を24時間強制し、違反を foo.example に報告することを示します。

Expect-CT: max-age=86400, enforce, report-uri="https://foo.example/report"

仕様書

仕様書 題名
Internet Draft Expect-CT Extension for HTTP

ブラウザーの対応

Update compatibility data on GitHub
デスクトップモバイル
ChromeEdgeFirefoxInternet ExplorerOperaSafariAndroid webviewAndroid 版 ChromeEdge MobileAndroid 版 FirefoxAndroid 版 OperaiOS 版 SafariSamsung Internet
基本対応Chrome 完全対応 61Edge ? Firefox ? IE ? Opera 完全対応 48Safari ? WebView Android 未対応 なしChrome Android 完全対応 61Edge Mobile ? Firefox Android ? Opera Android 完全対応 48Safari iOS ? Samsung Internet Android 未対応 なし

凡例

完全対応  
完全対応
未対応  
未対応
実装状況不明  
実装状況不明

ドキュメントのタグと貢献者

このページの貢献者: mfuji09
最終更新者: mfuji09,