Expect-CT header
Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.
Der Expect-CT Response-Header erlaubt es Websites, das Reporting und/oder die Durchsetzung von Certificate Transparency-Anforderungen zu aktivieren. Certificate Transparency (CT) zielt darauf ab, die Verwendung von falsch ausgestellten Zertifikaten für diese Website zu verhindern, die unbemerkt bleibt.
Nur Google Chrome und andere auf Chromium basierende Browser haben Expect-CT implementiert, und Chromium hat den Header ab Version 107 veraltet, da Chromium jetzt CT standardmäßig erzwingt. Siehe das Update auf der Chrome Platform Status-Seite.
CT-Anforderungen können durch einen der folgenden Mechanismen erfüllt werden:
- X.509v3-Zertifikats-Erweiterung, um das Einbetten von signierten Zertifikats-Timestamps zu ermöglichen, die von einzelnen Logs ausgegeben werden. Die meisten online genutzten TLS-Zertifikate, die von öffentlich vertrauenswürdigen CAs ausgestellt werden, enthalten eingebettete CT.
- Eine TLS-Erweiterung vom Typ
signed_certificate_timestamp, die während des Handshakes gesendet wird - Unterstützung von OCSP-Stapling (also die
status_requestTLS-Erweiterung) und Bereitstellung einerSignedCertificateTimestampList
Hinweis:
Wenn eine Website den Expect-CT Header aktiviert, fordert sie den Browser auf zu überprüfen, dass ein Zertifikat für diese Website in öffentlichen CT-Logs erscheint.
Hinweis:
Browser ignorieren den Expect-CT Header über HTTP; der Header wirkt sich nur auf HTTPS-Verbindungen aus.
Hinweis:
Der Expect-CT ist seit Juni 2021 größtenteils veraltet.
Seit Mai 2018 wird erwartet, dass alle neuen TLS-Zertifikate standardmäßig SCTs unterstützen.
Zertifikate, die vor März 2018 ausgestellt wurden, durften eine Lebensdauer von 39 Monaten haben, sodass sie im Juni 2021 abgelaufen sind.
Chromium plant, den Expect-CT Header zu veralten und schließlich zu entfernen.
| Header-Typ | Response-Header |
|---|---|
| Verbotener Request-Header | Ja |
Syntax
Expect-CT: report-uri="<uri>",
enforce,
max-age=<age>
Direktiven
max-age-
Die Anzahl der Sekunden nach Empfang des
Expect-CTHeader-Feldes, während der der Benutzeragent den Host der empfangenen Nachricht als bekanntenExpect-CTHost betrachten sollte.Wenn ein Cache einen Wert erhält, der größer ist als er darstellen kann, oder wenn eine seiner nachfolgenden Berechnungen überläuft, wird der Cache diesen Wert entweder als 2.147.483.648 (2^31) oder als die größte positive Ganzzahl betrachten, die er darstellen kann.
report-uri="<uri>"Optional-
Die URI, an die der Benutzeragent
Expect-CTFehler melden soll.Wenn diese zusammen mit der
enforceDirektive vorhanden ist, wird die Konfiguration als "enforce-and-report" Konfiguration bezeichnet, die dem Benutzeragenten signalisiert, dass die Einhaltung der Certificate Transparency-Richtlinie sowohl durchgesetzt als auch Verstöße gemeldet werden sollen. enforceOptional-
Signalisiert dem Benutzeragenten, dass die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt werden soll (anstatt nur die Einhaltung zu melden) und dass der Benutzeragent zukünftige Verbindungen ablehnen sollte, die gegen seine Certificate Transparency-Richtlinie verstoßen.
Wenn sowohl die
enforceDirektive als auch diereport-uriDirektive vorhanden sind, wird die Konfiguration als "enforce-and-report" Konfiguration bezeichnet, die dem Benutzeragenten signalisiert, dass die Einhaltung der Certificate Transparency-Richtlinie sowohl durchgesetzt als auch Verstöße gemeldet werden sollen.
Beispiel
Das folgende Beispiel spezifiziert die Durchsetzung der Certificate Transparency für 24 Stunden und meldet Verstöße an foo.example.com.
Expect-CT: max-age=86400, enforce, report-uri="https://foo.example.com/report"
Anmerkungen
Manuell dem Trust Store hinzugefügte Root-CAs überschreiben und unterdrücken Expect-CT Berichte/Durchsetzung.
Browser werden sich keine Expect-CT-Richtlinie merken, es sei denn, die Website hat "bewiesen", dass sie ein Zertifikat ausliefern kann, das die Anforderungen der Certificate Transparency erfüllt. Browser implementieren ihr eigenes Vertrauensmodell, welche CT Logs als vertrauenswürdig betrachtet werden, damit das Zertifikat protokolliert worden ist.
Builds von Chrome sind so gestaltet, dass sie die Expect-CT Richtlinie 10 Wochen nach dem Build-Datum der Installation nicht mehr durchsetzen.
Spezifikationen
| Specification |
|---|
| Expect-CT Extension for HTTP # section-2.1 |
Browser-Kompatibilität
Siehe auch
- Sichere Kontexte
- Glossarbegriffe: