Expect CT, neboli Certificate Transparency (CT), je bezpečnostní mechanismus používaný v protokolu HTTPS. Jeho hlavním úkolem je zvýšit transparentnost a důvěryhodnost v proces vydávání a správy SSL/TLS certifikátů. Tento mechanismus byl navržen jako odpověď na incidenty, kdy autority vydávající certifikáty emitovaly certifikáty neoprávněně nebo chybně.
Jak Expect CT funguje
Expect CT vyžaduje, aby servery odesílaly HTTP hlavičku Expect-CT
. Tato hlavička informuje prohlížeče, že server používá a očekává logování všech vystavených certifikátů do veřejně přístupných CT logů. Pokud prohlížeč zjistí, že certifikát serveru není v CT logu zaznamenán, může upozornit uživatele nebo dokonce zablokovat přístup k webové stránce.
Nastavení Expect CT
Nastavení Expect CT zahrnuje přidání HTTP hlavičky Expect-CT
s několika parametry:
enforce
: Když je tento parametr nastaven na 1
, prohlížeč aktivně zabraňuje přístupu na stránku, pokud certifikát není v CT logu.
max-age
: Tento parametr udává, jak dlouho má prohlížeč politiku Expect CT respektovat.
report-uri
: URL adresa, na kterou se mají posílat zprávy o porušení Expect CT politiky.
Příklad nastavení HTTP hlavičky Expect CT
Expect-CT: max-age=86400, enforce, report-uri="https://example.com/report"
V tomto příkladu je politika nastavena tak, aby byla aktivní po dobu jednoho dne (86400 sekund), s povinným vynucením a reportováním na specifikovanou URL.
Význam Expect CT pro bezpečnost
Expect CT významně přispívá k bezpečnosti HTTPS tím, že zvyšuje průhlednost procesu vydávání certifikátů. Díky logování všech certifikátů do veřejných logů lze snadno identifikovat a řešit případy zneužití certifikační autority. Tento mechanismus také umožňuje webmasterům aktivně monitorovat a reagovat na potenciální bezpečnostní problémy týkající se jejich SSL/TLS certifikátů.
Implementace Expect CT je důležitým krokem pro zabezpečení webové komunikace. Umožňuje lepší kontrolu nad vydáváním a používáním certifikátů a zvyšuje celkovou důvěru v ekosystém HTTPS. Vzhledem k rostoucímu počtu kybernetických útoků je tento mechanismus nezbytný pro každý web, který chce udržet vysokou úroveň bezpečnosti a důvěry svých uživatelů.