This page was translated from English by the community. Learn more and join the MDN Web Docs community.

Expect-CT

Expect-CT 头允许站点选择性报告和/或执行证书透明度 (Certificate Transparency) 要求,来防止错误签发的网站证书的使用不被察觉。当站点启用 Expect-CT 头,就是在请求浏览器检查该网站的任何证书是否出现在公共证书透明度日志之中。

Header type Response header
Forbidden header name yes

语法

Expect-CT: report-uri="<uri>";
           enforce;
           max-age=<age>

指令

max-age

该指令指定接收到 Expect-CT 头后的秒数,在此期间用户代理应将收到消息的主机视为已知的 Expect-CT 主机。

如果缓存接收到的值大于它可以表示的值,或者如果其随后计算溢出,则缓存将认为该值为2147483648(2的31次幂)或其可以方便表示的最大正整数。

report-uri="<uri>" 可选

该指令指定用户代理应向其报告 Expect-CT 失效的 URI。

当 enforce 指令和 report-uri 指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。

 

enforce 可选

该指令示意用户代理应强制遵守证书透明度政策(而不是只报告合规性),并且用户代理应拒绝违反证书透明度政策的之后连接。

当  enforce 指令和  report-uri 指令共同存在时,这种配置被称为“强制执行和报告”配置,示意用户代理既应该强制遵守证书透明度政策,也应当报告违规行为。

示例

以下示例指定24小时的证书透明度执行,并向 foo.example 报告违规行为.

Expect-CT: max-age=86400; enforce; report-uri="https://foo.example/report"

规范

规范 标题
Internet Draft Expect-CT Extension for HTTP

浏览器兼容性

BCD tables only load in the browser