1. Web
  2. HTTP
  3. Reference
  4. Headers
  5. Expect-CT

Dieser Inhalt wurde automatisch aus dem Englischen übersetzt, und kann Fehler enthalten. Erfahre mehr über dieses Experiment.

View in English Always switch to English

Expect-CT header

Veraltet: Diese Funktion wird nicht mehr empfohlen. Obwohl einige Browser sie möglicherweise noch unterstützen, könnte sie bereits aus den relevanten Webstandards entfernt worden sein, in Kürze entfernt werden oder nur noch aus Kompatibilitätsgründen bestehen. Vermeiden Sie die Verwendung und aktualisieren Sie vorhandenen Code, falls möglich; siehe die Kompatibilitätstabelle am Ende dieser Seite, um Ihre Entscheidung zu unterstützen. Beachten Sie, dass diese Funktion jederzeit aufhören könnte zu funktionieren.

Der Expect-CT-Antwortheader ermöglicht es Websites, die Berichterstattung und/oder Durchsetzung der Anforderungen von Certificate Transparency zu unterstützen. Certificate Transparency (CT) zielt darauf ab, die Verwendung falsch ausgestellter Zertifikate für diese Website unbemerkt zu verhindern.

Nur Google Chrome und andere auf Chromium basierende Browser haben Expect-CT implementiert, und Chromium hat den Header ab Version 107 als veraltet eingestuft, da Chromium jetzt CT standardmäßig durchsetzt. Siehe das Chrome Platform Status Update.

CT-Anforderungen können über einen der folgenden Mechanismen erfüllt werden:

  • X.509v3 Zertifikaterweiterung zum Einbetten von signierten Zertifikatszeitstempeln, die von individuellen Logs ausgegeben werden. Die meisten TLS-Zertifikate, die von öffentlich anerkannten CAs ausgestellt und online verwendet werden, enthalten eingebettetes CT.
  • Eine TLS-Erweiterung vom Typ signed_certificate_timestamp, die während des Handshakes gesendet wird
  • Unterstützung von OCSP-Stapling (d.h. die status_request TLS-Erweiterung) und Bereitstellung einer SignedCertificateTimestampList

Hinweis: Wenn eine Website den Expect-CT-Header aktiviert, fordert sie, dass der Browser prüft, ob ein Zertifikat für diese Website in den öffentlichen CT-Logs erscheint.

Hinweis: Browser ignorieren den Expect-CT-Header über HTTP; der Header hat nur Wirkung bei HTTPS-Verbindungen.

Hinweis: Der Expect-CT ist seit Juni 2021 größtenteils obsolet. Seit Mai 2018 wird erwartet, dass alle neuen TLS-Zertifikate standardmäßig SCTs unterstützen. Zertifikate, die vor März 2018 ausgestellt wurden, durften eine Laufzeit von 39 Monaten haben, wodurch sie im Juni 2021 abgelaufen waren. Chromium plant, den Expect-CT-Header abzulehnen und schließlich zu entfernen.

Header-Typ Antwortheader

Syntax

http
Expect-CT: report-uri="<uri>",
           enforce,
           max-age=<age>

Direktiven

max-age

Die Anzahl der Sekunden nach Empfang des Expect-CT-Header-Feldes, während derer der Benutzeragent den Host der empfangenen Nachricht als bekannten Expect-CT-Host betrachten sollte.

Wenn ein Cache einen Wert erhält, der größer ist, als er darstellen kann, oder wenn eine seiner nachfolgenden Berechnungen überläuft, wird der Cache diesen Wert als entweder 2.147.483.648 (2^31) oder als die größte positive Ganzzahl betrachten, die er darstellen kann.

report-uri="<uri>" Optional

Die URI, an die der Benutzeragent Expect-CT-Fehler melden soll.

Wenn die Direktive zusammen mit der enforce-Direktive vorhanden ist, wird die Konfiguration als "enforce-and-report" bezeichnet, was dem Benutzeragenten signalisiert, dass die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt und Verstöße gemeldet werden sollen.

enforce Optional

Signalisiert dem Benutzeragenten, dass die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt werden sollte (anstatt nur die Einhaltung zu melden) und dass der Benutzeragent zukünftige Verbindungen ablehnen sollte, die gegen seine Certificate Transparency-Richtlinie verstoßen.

Wenn sowohl die enforce-Direktive als auch die report-uri-Direktive vorhanden sind, wird die Konfiguration als "enforce-and-report" bezeichnet, was dem Benutzeragenten signalisiert, dass sowohl die Einhaltung der Certificate Transparency-Richtlinie durchgesetzt als auch Verstöße gemeldet werden sollen.

Beispiel

Das folgende Beispiel spezifiziert die Durchsetzung der Certificate Transparency für 24 Stunden und meldet Verstöße an foo.example.com.

http
Expect-CT: max-age=86400, enforce, report-uri="https://foo.example.com/report"

Hinweise

Manuell dem Trust Store hinzugefügte Root-CAs überschreiben und unterdrücken Expect-CT-Berichte/Durchsetzungen.

Browser werden eine Expect-CT-Richtlinie nicht speichern, es sei denn, die Website hat "bewiesen", dass sie ein Zertifikat bereitstellen kann, das die Anforderungen an die Zertifikattransparenz erfüllt. Browser implementieren ihr eigenes Vertrauensmodell hinsichtlich der CT-Logs, die als vertrauenswürdig gelten, damit das Zertifikat protokolliert wurde.

Builds von Chrome sind so konzipiert, dass sie die Expect-CT-Richtlinie 10 Wochen nach dem Erstellungsdatum der Installation nicht mehr durchsetzen.

Spezifikationen

Specification
Expect-CT Extension for HTTP
# section-2.1

Browser-Kompatibilität

Siehe auch

Help improve MDN

Learn how to contribute Diese Seite wurde automatisch aus dem Englischen übersetzt.
Übersetzung auf GitHub anzeigenFehler mit dieser Übersetzung melden