6. プライバシーに関する考慮事項

Expect-CTは、1つのユーザーエージェントのポリシーを通過するが別のユーザーエージェントのポリシーを通過しない特別に設定されたWebサイトを取得しようとすることにより、UAが使用している証明書の透明性ポリシーを推測するために使用できます。この考慮事項は、Expect-CTなしでCTポリシーを強制するUAにも当てはまります。

さらに、report-uriに送信されたレポートは、個別に追跡されたページに個別のreport-uri値を使用することにより、アクセスされているWebページとどのIPアドレスによってアクセスされているかについての情報を第三者に明らかにする可能性があります。この情報は、クライアント側スクリプトが無効になっている場合でも漏洩する可能性があります。

実装は、既知のExpect-CTホストに関する状態を保存し、したがって、UAが連絡したドメインを保存します。実装は、ローカルポリシー（たとえば、Webブラウザーのプライベートブラウジングモード）に従って、この状態を保存しないことを選択できます。

セクション3で述べたように、違反レポートには、CTポリシーに違反した証明書チェーンに関する情報が含まれています。TLSのエンドツーエンドセキュリティの組織全体の侵害など、場合によっては、組織が開示したくない情報が含まれている可能性があります。

Expect-CTはリモートで検出可能な動作を引き起こすため、UAはプライバシーに配慮したエンドユーザーが現在記録されているExpect-CTホストをクリアし、既知のExpect-CTホストの現在の状態をクエリできる方法を提供することをお勧めします。