Expect-CT
头允许站点选择性报告和/或执行证书透明度 (Certificate Transparency) 要求,来防止错误签发的网站证书的使用不被察觉。当站点启用 Expect-CT
头,就是在请求浏览器检查该网站的任何证书是否出现在公共证书透明度日志之中。
Header type | Response header |
---|---|
Forbidden header name | yes |
语法
Expect-CT: report-uri="<uri>"; enforce; max-age=<age>
指令
- max-age
-
该指令指定接收到
Expect-CT
头后的秒数,在此期间用户代理应将收到消息的主机视为已知的 Expect-CT 主机。如果缓存接收到的值大于它可以表示的值,或者如果其随后计算溢出,则缓存将认为该值为2147483648(2的31次幂)或其可以方便表示的最大正整数。
- report-uri="<uri>" 可选
-
该指令指定用户代理应向其报告 Expect-CT 失效的 URI。
当enforce
指令和report-uri
指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。 - enforce 可选
-
该指令示意用户代理应强制遵守证书透明度政策(而不是只报告合规性),并且用户代理应拒绝违反证书透明度政策的之后连接。
当
enforce
指令和report-uri
指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。
示例
以下示例指定24小时的证书透明度执行,并向 foo.example 报告违规行为.
Expect-CT: max-age=86400; enforce; report-uri="https://foo.example/report"
规范
规范 | 标题 |
---|---|
Internet Draft | Expect-CT Extension for HTTP |
浏览器兼容性
此页面上的兼容性表格由结构化数据生成。如果您想贡献数据,请查看 https://github.com/mdn/browser-compat-data 并向我们发送一个拉取请求 (pull request).
Update compatibility data on GitHub
Desktop | Mobile | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
Expect-CT | Chrome
Full support
61
| Edge ? | Firefox ? | IE ? | Opera Full support 48 | Safari ? | WebView Android No support No | Chrome Android Full support 61 | Firefox Android ? | Opera Android Full support 45 | Safari iOS ? | Samsung Internet Android Full support 8.0 |
Legend
- Full support
- Full support
- No support
- No support
- Compatibility unknown
- Compatibility unknown
- See implementation notes.
- See implementation notes.