los Expect-CT
El encabezado permite a los sitios optar por informar y / o hacer cumplir Transparencia del certificado requisitos, para evitar que el uso de certificados emitidos incorrectamente para ese sitio pase desapercibido.
Los requisitos de TC se pueden satisfacer mediante cualquiera de los siguientes mecanismos:
- Extensión de certificado X.509v3 para permitir la incrustación de marcas de tiempo de certificados firmados emitidos por registros individuales
- Una extensión de TLS de tipo
signed_certificate_timestamp
enviado durante el apretón de manos - Admite el grapado OCSP (es decir, el
status_request
Extensión TLS) y proporcionar unaSignedCertificateTimestampList
Cuando un sitio habilita la Expect-CT
encabezado, están solicitando que el navegador verifique que cualquier certificado para ese sitio aparezca en registros públicos de CT.
Navegadores ignorar los Expect-CT
encabezado sobre HTTP; el encabezado solo tiene efecto en las conexiones HTTPS.
los Expect-CT
probablemente quedará obsoleto en junio de 2021. Desde mayo de 2018 se espera que los nuevos certificados admitan SCT de forma predeterminada. A los certificados anteriores a marzo de 2018 se les permitió tener una vida útil de 39 meses, y todos vencerán en junio de 2021.
Tipo de encabezado | Encabezado de respuesta |
---|---|
Nombre de encabezado prohibido | sí |
Sintaxis
Expect-CT: report-uri="<uri>", enforce, max-age=<age>
Directivas
max-age
-
El número de segundos después de la recepción del
Expect-CT
campo de encabezado durante el cual el agente de usuario debe considerar el host del mensaje recibido como un conocidoExpect-CT
anfitrión.Si una caché recibe un valor mayor de lo que puede representar, o si alguno de sus cálculos posteriores se desborda, la caché considerará que este valor es 2,147,483,648 (231) o el mayor entero positivo que pueda representar.
-
report-uri="<uri>"
Opcional -
El URI donde el agente de usuario debe informar
Expect-CT
fracasos.Cuando está presente con el
enforce
directiva, la configuración se conoce como una configuración de “hacer cumplir e informar”, lo que indica al agente de usuario que se debe hacer cumplir la política de transparencia de certificados y que se denuncien las infracciones. -
enforce
Opcional -
Señala al agente de usuario que se debe hacer cumplir la política de transparencia de certificados (en lugar de solo informar el cumplimiento) y que el agente de usuario debe rechazar conexiones futuras que violen su política de transparencia de certificados.
Cuando tanto el
enforce
directiva y lareport-uri
directiva están presentes, la configuración se conoce como una configuración de “hacer cumplir e informar”, lo que indica al agente de usuario que se debe aplicar el cumplimiento de la política de transparencia de certificados y que se deben informar las infracciones.
Ejemplo
El siguiente ejemplo especifica la aplicación de la Transparencia del certificado durante 24 horas y notifica las infracciones a foo.example
.
Expect-CT: max-age=86400, enforce, report-uri="https://foo.example/report"
Notas
Las CA raíz agregadas manualmente al almacén de confianza anulan y suprimen Expect-CT
informes / ejecución.
Los navegadores no recordarán Expect-CT
política, a menos que el sitio haya “probado” que puede entregar un certificado que satisfaga los requisitos de transparencia del certificado. Los navegadores implementan su propio modelo de confianza con respecto a qué registros de CT se consideran confiables para el certificado al que se ha registrado.
Las compilaciones de Chrome están diseñadas para dejar de hacer cumplir Expect-CT
póliza 10 semanas después de la fecha de construcción de la instalación.
Especificaciones
Especificación | Título |
---|---|
Borrador de Internet | Extensión Expect-CT para HTTP |
Compatibilidad del navegadorActualizar datos de compatibilidad en GitHub
Escritorio | ||||||
---|---|---|---|---|---|---|
Cromo | Borde | Firefox | explorador de Internet | Ópera | Safari | |
Expect-CT |
61
|
≤79 | ? | ? | 48 | ? |
Móvil | ||||||
---|---|---|---|---|---|---|
Vista web de Android | Chrome para Android | Firefox para Android | Opera para Android | Safari en iOS | Internet de Samsung | |
Expect-CT |
No | 61 | ? | 45 | ? | 8.0 |
© 2005–2020 Mozilla y colaboradores individuales.
Con licencia de Creative Commons Attribution-ShareAlike License v2.5 o posterior.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT