Expect-CT Extension for HTTP

Expect-CT header

Hlavička umožňuje kontrolovat dodržování souladu s Certificate Transparency (CT) u certifikátu webových stránek.

Hlavička Expect-CT je reportující hlavička, která poskytuje provozovatelům webových stránek kontrolu nad tím, jak je vyhodnocován SSL certifikát v Certificate Transparency. Hlavním úkolem Expect-CT headeru je zajistit kontrolu shody s CT a umožnit prohlížečům odesílat reporty, pokud mají problémy s ověřením certifikátu webových stránek.

Proč používat Expect-CT

Expect-CT nabízí kontrolu souladu SSL certifikátu s Certificate Transparency a může pomoci zjistit, pokud se někdo pokusí použít podvodný certifikát pro doménu. Nasazení Expect-CT, jakožto reportující hlavičky, je jednoduché.

Syntaxe

Expect-CT: report-uri="<uri>",
            enforce,           
            max-age=<age>      

Definice parametrů hlavičky Expect-CT

max-age
Expect-CT: max-age=86400

Požadovaná hodnota max-age=<age> nastavuje maximální čas (sekundy) uchování informací v mezipaměti prohlížeče.

report-uri="<uri>" (volitelné)
Expect-CT: max-age=86400, report-uri="https://foo.domenaxyz.cz/ct-report"

Parametr report-uri="<uri> určuje, kam má prohlížeč zasílat zprávy, pokud neobdrží platné CT informace. Zadává se absolutní URL. Toto nastavení je pouze pro reporting. Pokud prohlížeč nevyhodnotí soulad s CT ("CT Qualified"), zašle report a spojení neukončí.

enforce (volitelné)
Expect-CT: max-age=86400, enforce

Volitelný parametr enforce nastavuje režim prohlížeče na prosazování zásad Certificate Transparency. Pokud se vyžaduje, aby prohlížeč vynucoval dodržování zásad, zadejte tento parametr.

Nastavení Expect-CT

.htaccess
# Expect-CT settings
Header set Expect-CT enforce, max-age=2592000, report-uri="https://foo.example/report"

Nastavení Expect-CT na 30 dní.

Nginx
add_header Expect-CT 'enforce, max-age=5184000';

Užitečné zdroje