Aller au contenu principal

7. Considérations de sécurité

7.1. Attaques par en-tête hostile

Lorsque les UA prennent en charge le champ d'en-tête Expect-CT, il devient un vecteur potentiel pour les attaques par en-tête hostile contre les propriétaires de sites. Si un propriétaire de site utilise un certificat émis par une autorité de certification qui n'intègre pas de SCT ni ne sert de SCT via le protocole OCSP (Online Certificate Status Protocol) ou l'extension TLS, un opérateur de serveur malveillant ou un attaquant pourrait temporairement reconfigurer l'hôte pour se conformer à la politique CT de l'UA et ajouter le champ d'en-tête Expect-CT en mode enforce avec un max-age long.

Les opérateurs de sites peuvent atténuer cette situation par l'une des méthodes suivantes : reconfigurer leur serveur Web pour transmettre des SCT en utilisant l'extension TLS définie dans la section 6.5 de [RFC9162] ; obtenir un certificat d'une autorité de cer

tification alternative qui fournit des SCT par l'une des autres méthodes ; ou en attendant que la notation persistante de l'agent utilisateur de ceci comme un hôte Expect-CT atteigne son max-age.

7.2. max-age maximum

Il y a un compromis de sécurité en ce sens que les valeurs maximales basses fournissent une fenêtre de protection étroite pour les utilisateurs qui ne visitent l'hôte Expect-CT connu que rarement, tandis que les valeurs maximales élevées pourraient entraîner un déni de service à un UA en cas d'attaque par en-tête hostile ou simplement d'une erreur de la part du propriétaire du site.

Il n'y a probablement pas de maximum idéal pour la directive max-age. Étant donné qu'Expect-CT est principalement une technologie d'expansion de politique et d'investigation plutôt qu'une protection de l'utilisateur final, une valeur de l'ordre de 30 jours (2 592 000 secondes) peut être considérée comme un équilibre entre ces préoccupations de sécurité concurrentes.

7.3. Attaques par amplification

Un autre type d'attaque par en-tête hostile utilise le mécanisme report-uri sur de nombreux hôtes n'exposant pas actuellement de SCT comme méthode pour causer un déni de service à l'hôte recevant les rapports. Si certains sites Web à fort trafic émettaient un champ d'en-tête Expect-CT non imposé avec un report-uri, les rapports des UA d'implémentation pourraient inonder l'hôte de rapport. Il est noté dans la section 2.1.1 que les UA devraient limiter la vitesse à laquelle ils émettent des rapports, mais un attaquant peut modifier les champs d'en-tête Expect-CT pour inciter les UA à soumettre différents rapports à différents URI pour encore causer le même effet.

Dernière mise à jour le