跳到主要内容

5. 编写考虑事项

Expect-CT 可以被规定为 TLS 扩展或 X.509 证书扩展, 而不是 HTTP 响应头字段. 使用 HTTP 头字段作为 Expect-CT 机制会引入分层不匹配. 例如, 终止 TLS 并验证 Certificate Transparency 信息的软件可能完全不了解 HTTP. 尽管如此, 选择 HTTP 头字段主要是为了易于部署. 实践中, 部署新的证书扩展要求证书颁发机构支持它们, 新的 TLS 扩展则要求更新服务器软件, 还可能包括站点所有者无法直接控制的服务器 (例如第三方 Content Delivery Network (CDN)). 易于部署是 Expect-CT 的高优先级目标, 因为它旨在作为临时过渡机制, 服务于正在迁移到通用 Certificate Transparency 要求的用户代理.