Zum Hauptinhalt springen

7. Sicherheitsüberlegungen

7.1. Angriffe durch feindliche Header

Wenn UAs das Expect-CT-Headerfeld unterstützen, wird es zu einem potenziellen Vektor für feindliche Header-Angriffe gegen Site-Besitzer. Wenn ein Site-Besitzer ein Zertifikat verwendet, das von einer Zertifizierungsstelle ausgestellt wurde, die keine SCTs einbettet noch SCTs über das Online Certificate Status Protocol (OCSP) oder die TLS-Erweiterung bereitstellt, könnte ein böswilliger Serverbetreiber oder Angreifer den Host vorübergehend neu konfigurieren, um der CT-Richtlinie des UA zu entsprechen, und das Expect-CT-Headerfeld im Enforce-Modus mit einer langen max-age hinzufügen.

Site-Betreiber können diese Situation durch eine der folgenden Maßnahmen mildern: Neukonfiguration ihres Webservers, um SCTs mit der in Abschnitt 6.5 von [RFC9162] definierten TLS-Erweiterung zu übertragen; Erlangung eines Zertifikats von einer alternativen Zertifizierungsstelle, die SCTs auf eine der anderen Methoden bereitstellt; oder Warten, bis die persistente Notierung des Benutzeragenten davon als Expect-CT-Host seine max-age erreicht.

7.2. Maximales max-age

Es gibt einen Sicherheitskompromiss dahingehend, dass niedrige Maximalwerte ein enges Schutzfenster für Benutzer bieten, die den bekannten Expect-CT-Host nur selten besuchen, während hohe Maximalwerte im Fall eines feindlichen Header-Angriffs oder einfach eines Fehlers seitens des Site-Besitzers zu einer Dienstverweigerung für einen UA führen könnten.

Es gibt wahrscheinlich kein ideales Maximum für die max-age-Direktive. Da Expect-CT in erster Linie eine Richtlinienerweiterungs- und Untersuchungstechnologie ist und kein Endbenutzerschutz, kann ein Wert in der Größenordnung von 30 Tagen (2.592.000 Sekunden) als Ausgleich zwischen diesen konkurrierenden Sicherheitsbedenken angesehen werden.

7.3. Verstärkungsangriffe

Eine andere Art von feindlichem Header-Angriff verwendet den report-uri-Mechanismus auf vielen Hosts, die derzeit keine SCTs bereitstellen, als Methode, um eine Dienstverweigerung auf dem Host zu verursachen, der die Berichte empfängt. Wenn einige stark frequentierte Websites ein nicht durchsetzendes Expect-CT-Headerfeld mit einem report-uri ausgeben würden, könnten die Berichte implementierender UAs den Berichtshost überfluten. Es wird in Abschnitt 2.1.1 festgestellt, dass UAs die Rate, mit der sie Berichte ausgeben, begrenzen sollten, aber ein Angreifer kann die Expect-CT-Headerfelder ändern, um UAs dazu zu bringen, verschiedene Berichte an verschiedene URIs zu senden, um dennoch denselben Effekt zu erzielen.

Letztes Update am