Expect-CT ヘッダーは、サイトが認証透過性の要件の報告や強制に参加して、サイトの不正な認証情報が通知されない状態を防ぐことができます。サイトが Expect-CT ヘッダーを有効にすると、ブラウザーが公開 CT ログに現れるサイトのすべての認証情報をチェックするよう要求します。

ヘッダー種別 応答ヘッダー
禁止ヘッダー名 はい

構文

Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

ディレクティブ

max-age

Expect-CT ヘッダーフィールドを受信した後で、ユーザーエージェントがメッセージを受信したホストを、既知の Expect-CT ホストと見なすべき時間を秒数で指定します。

キャッシュが表現可能な値よりも大きな値を受信した場合や、計算でオーバーフローが発生した場合、キャッシュは値を 2147483648 (2^31) 又は使用している表現方法で最も大きな整数値とみなします。

report-uri="<uri>" Optional

ユーザーエージェントが Expect-CT の失敗を報告する URI を指定します。

enforce ディレクティブと report-uri ディレクティブが両方ともある場合、設定は "enforce-and-report" の設定と呼ばれ、ユーザーエージェントに認証透過性ポリシーに従い、違反を報告することを指示します。

 

enforce Optional

ユーザーエージェントに (報告するだけでなく) 認証透過性ポリシーに従い、ユーザーエージェントが認証透過性ポリシーに違反するコネクションを拒否するよう指示します。

enforce ディレクティブと report-uri ディレクティブが両方ともある場合、設定は "enforce-and-report" の設定と呼ばれ、ユーザーエージェントに認証透過性ポリシーに従い、違反を報告することを指示します。

以下の例は認証透過性を24時間強制し、違反を foo.example に報告することを示します。

Expect-CT: max-age=86400, enforce, report-uri="https://foo.example/report"

仕様書

仕様書 題名
Internet Draft Expect-CT Extension for HTTP

ブラウザーの対応

機能ChromeEdgeFirefoxInternet ExplorerOperaSafari
基本対応61 ? ? ?48 ?
機能Android webviewChrome for AndroidEdge mobileFirefox for AndroidOpera AndroidiOS SafariSamsung Internet
基本対応 なし61 ? ?48 ? なし

ドキュメントのタグと貢献者

このページの貢献者: mfuji09
最終更新者: mfuji09,