Ejemplo de Http Expect-CT

los Expect-CT El encabezado permite a los sitios optar por informar y / o hacer cumplir Transparencia del certificado requisitos, para evitar que el uso de certificados emitidos incorrectamente para ese sitio pase desapercibido.

Los requisitos de TC se pueden satisfacer mediante cualquiera de los siguientes mecanismos:

• Extensión de certificado X.509v3 para permitir la incrustación de marcas de tiempo de certificados firmados emitidos por registros individuales
• Una extensión de TLS de tipo signed_certificate_timestamp enviado durante el apretón de manos
• Admite el grapado OCSP (es decir, el status_request Extensión TLS) y proporcionar una SignedCertificateTimestampList

Cuando un sitio habilita la Expect-CT encabezado, están solicitando que el navegador verifique que cualquier certificado para ese sitio aparezca en registros públicos de CT.

Navegadores ignorar los Expect-CT encabezado sobre HTTP; el encabezado solo tiene efecto en las conexiones HTTPS.

los Expect-CT probablemente quedará obsoleto en junio de 2021. Desde mayo de 2018 se espera que los nuevos certificados admitan SCT de forma predeterminada. A los certificados anteriores a marzo de 2018 se les permitió tener una vida útil de 39 meses, y todos vencerán en junio de 2021.

Sintaxis

Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

Directivas

max-age

El número de segundos después de la recepción del Expect-CT campo de encabezado durante el cual el agente de usuario debe considerar el host del mensaje recibido como un conocido Expect-CT anfitrión.

Si una caché recibe un valor mayor de lo que puede representar, o si alguno de sus cálculos posteriores se desborda, la caché considerará que este valor es 2,147,483,648 (2³¹) o el mayor entero positivo que pueda representar.

report-uri="<uri>" Opcional

El URI donde el agente de usuario debe informar Expect-CT fracasos.

Cuando está presente con el enforce directiva, la configuración se conoce como una configuración de “hacer cumplir e informar”, lo que indica al agente de usuario que se debe hacer cumplir la política de transparencia de certificados y que se denuncien las infracciones.

enforce Opcional

Señala al agente de usuario que se debe hacer cumplir la política de transparencia de certificados (en lugar de solo informar el cumplimiento) y que el agente de usuario debe rechazar conexiones futuras que violen su política de transparencia de certificados.

Cuando tanto el enforce directiva y la report-uri directiva están presentes, la configuración se conoce como una configuración de “hacer cumplir e informar”, lo que indica al agente de usuario que se debe aplicar el cumplimiento de la política de transparencia de certificados y que se deben informar las infracciones.

Ejemplo

El siguiente ejemplo especifica la aplicación de la Transparencia del certificado durante 24 horas y notifica las infracciones a foo.example.

Expect-CT: max-age=86400, enforce, report-uri="https://foo.example/report"

Notas

Las CA raíz agregadas manualmente al almacén de confianza anulan y suprimen Expect-CT informes / ejecución.

Los navegadores no recordarán Expect-CT política, a menos que el sitio haya “probado” que puede entregar un certificado que satisfaga los requisitos de transparencia del certificado. Los navegadores implementan su propio modelo de confianza con respecto a qué registros de CT se consideran confiables para el certificado al que se ha registrado.

Las compilaciones de Chrome están diseñadas para dejar de hacer cumplir Expect-CT póliza 10 semanas después de la fecha de construcción de la instalación.

Especificaciones

Compatibilidad del navegadorActualizar datos de compatibilidad en GitHub

© 2005–2020 Mozilla y colaboradores individuales.
Con licencia de Creative Commons Attribution-ShareAlike License v2.5 o posterior.
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Expect-CT