第 12 章 第三方可验证证据与状态页

12.0 本章摘要

• SHOULD：提供公开、可重复验证的第三方证据入口，用于证明可见安全基线（TLS、响应头等）。
• MUST：Evidence 只指向权威入口，不指向截图或二次转载。
• MUST：明确证据的适用边界：外部扫描无法直接证明零知识/E2EE 的全部实现细节。
• SHOULD：状态页用于聚合证据入口，但 Claim 的 Evidence 字段仍应指向第三方原始入口。

12.1 证据类型与适用边界

12.2 状态页作为证据聚合入口

FileBolt 使用 /status 作为证据入口的聚合页面： 它不替代第三方报告本体，而是提供统一导航，方便用户与审计方重复验证。

• MUST：状态页中的证据链接应指向第三方权威入口（可重复访问）。
• SHOULD：状态页可提供“最后检查日期/时间戳”的说明，但不应将其表述为永久不变结论。
• SHOULD：如对不同路径（例如下载/解密页）配置了更严格的响应头，可在状态页提供路径级证据说明（如第三方工具支持）。

12.3 TLS 配置证据入口

TLS 证据用于验证 HTTPS 配置、协议版本与证书链等可见属性。以下入口为示例：

• 状态页索引：/status#tls-configuration
• 第三方权威入口（示例）： SSL Labs TLS Report

说明： TLS 证据仅反映“扫描时点”的可见配置；它不能证明端到端加密内容边界，也不能证明服务端是否能获得 CEK。

12.4 安全响应头证据入口

安全响应头证据用于验证 CSP、Referrer-Policy、X-Frame-Options、Permissions-Policy 等站点基线策略是否存在及其基本形态。

• 状态页索引：/status#security-headers
• 第三方入口（示例）： SecurityHeaders Report

建议： 若下载/解密页（例如 /transfer、/d/**）采用更严格策略，可在内部文档中标注“关键路径更严格”， 并在可行时选择支持“指定路径扫描”的工具作为补充证据。

12.5 综合最佳实践扫描入口

综合扫描通常覆盖更广的最佳实践检查（例如部分 HTTP 配置、常见弱配置、缓存与安全策略组合等）。 这类证据适用于辅助验证站点基线，但仍不等同于对协议实现的审计。

• 状态页索引：/status#http-observatory
• 第三方入口（示例）： Mozilla Observatory

12.6 Evidence 与 Claim IDs 的映射原则

• MUST：每条可验证声明（Claim）在 Claim IDs 总表中具有唯一编号与稳定锚点。
• MUST：Claim 的 Evidence 字段只指向权威入口（第三方报告页或官方可复现页面）， MUST NOT 指向截图、转述或非权威转载。
• SHOULD：状态页可作为 Evidence 的“导航集合”，但 Claim 的主 Evidence 字段仍应尽量指向第三方原始入口。
• MUST：Claim 的表述应与证据的证明范围一致，避免把“扫描可见基线”写成“绝对安全承诺”。

Claim IDs 总表（唯一权威）： /security-privacy-appendix-claim-ids

12.7 证据的时间性与表述规范

第三方扫描结果会随时间变化（扫描器规则更新、站点配置调整、证书轮换等）。因此对 Evidence 的引用应采用“可验证但不绝对”的表述方式。

• SHOULD：在状态页或文档中记录“最近验证日期/时间”（如适用），并允许用户自行重复验证。
• MUST：避免使用“永久/绝对”措辞；应使用“扫描显示已启用/符合”等与证据范围匹配的语言。
• SHOULD：当关键安全策略发生变化（例如 CSP 收紧、TLS 配置更新），在 Changelog 中记录并关联相关 Claim IDs。

12.8 相关 Claim IDs（预留）

本章涉及“第三方证据入口与映射原则”。对应 Claim IDs 将以附录总表为唯一权威入口维护： 附录：Claim IDs 总表。