7. セキュリティに関する考慮事項

7.1. 悪意のあるヘッダー攻撃

UAがExpect-CTヘッダーフィールドをサポートする場合、それはサイト所有者に対する悪意のあるヘッダー攻撃の潜在的なベクターになります。サイト所有者がSCTを埋め込まず、OCPSやTLS拡張を介してSCTを提供しない証明書機関によって発行された証明書を使用している場合、悪意のあるサーバーオペレーターまたは攻撃者は、UAのCTポリシーに準拠するようにホストを一時的に再構成し、長いmax-ageを持つ強制モードでExpect-CTヘッダーフィールドを追加できます。実装ユーザーエージェントは、これをExpect-CTホストとして記録します（セクション2.3.2.1を参照）。これを行った後、構成をCTポリシーに準拠しないように戻すことができ、失敗を引き起こします。このシナリオには、攻撃者が問題のインフラストラクチャを実質的に制御し、異なる証明書を取得したり、サーバーソフトウェアを変更したり、接続で中間者として機能したりできる必要があることに注意してください。

サイト運営者は、次のいずれかの方法でこの状況を軽減できます：[RFC9162]のセクション6.5で定義されたTLS拡張を使用してSCTを送信するようにWebサーバーを再構成する。他の方法のいずれかでSCTを提供する代替証明書機関から証明書を取得する。またはユーザーエージェントのこれをExpect-CTホストとしての永続的な表記がmax-ageに達するのを待つ。ユーザーエージェントは、セクション4で述べたように、ユーザーがこの状況を修正するメカニズムを実装することを選択できます。

7.2. 最大 max-age

低い最大値は、既知のExpect-CTホストを頻繁に訪問しないユーザーに狭い保護ウィンドウを提供し、高い最大値は、悪意のあるヘッダー攻撃の場合やサイト所有者の単なるエラーの場合にUAへのサービス拒否を引き起こす可能性があるというセキュリティのトレードオフがあります。

max-ageディレクティブの理想的な最大値はおそらくありません。Expect-CTは主にエンドユーザー保護ではなくポリシー拡張と調査技術であるため、30日程度の値（2,592,000秒）は、これらの競合するセキュリティ上の懸念のバランスと見なすことができます。

7.3. 増幅攻撃

別の種類の悪意のあるヘッダー攻撃は、現在SCTを公開していない多くのホストでreport-uriメカニズムを使用して、レポートを受信するホストへのサービス拒否を引き起こす方法として使用します。一部の高トラフィックWebサイトがreport-uriを持つ非強制Expect-CTヘッダーフィールドを発行した場合、実装UAのレポートはレポートホストをフラッディングする可能性があります。セクション2.1.1では、UAがレポートを発行するレートを制限すべきであると述べていますが、攻撃者は、UAに異なるURIに異なるレポートを送信させるようにExpect-CTヘッダーフィールドを変更して、同じ効果を引き起こす可能性があります。