第 12 章：第三方可驗證證據與狀態頁

12.0 總結

• SHOULD：提供公開的、可複製的第三方證據連結來驗證可見的安全基線（TLS、標頭等）。
• MUST：證據連結僅指向權威來源，絕不指向螢幕截圖或二次轉發。
• MUST：明確定義證據範圍：外部掃描無法直接驗證完整的零知識/E2EE實作細節。
• SHOULD：使用狀態頁面聚合證據鏈接，而聲明證據欄位應直接指向原始第三方來源。

12.1 證據類型和範圍

12.2 狀態頁面作為聚合中心

FileBolt 使用 /status 作為證據連結的聚合中心。 它並不取代第三方報告本身，而是為使用者和審計人員提供統一的導航以進行重複驗證。

• MUST：狀態頁面上的證據連結指向權威的第三方來源（可複製）。
• SHOULD：狀態頁面可能會指示“上次檢查日期/時間戳”，但不應將其呈現為永久的、不可變的結論。
• SHOULD：如果特定路徑（例如下載/解密頁面）採用更嚴格的標頭，則可以在狀態頁面上提供路徑級證據（如果第三方工具支援）。

12.3 TLS配置證據

TLS 證據驗證 HTTPS 設定、協定版本、憑證鍊和可見屬性。範例包括：

• 狀態頁索引：/status#tls-configuration
• 權威第三者來源（範例）： SSL 實驗室 TLS 報告

Note: TLS 證據反映了「掃描時」的可見配置；它不證明端對端內容邊界，也不證明伺服器是否可以存取 CEK。

12.4 安全標頭證據

安全標頭證據可驗證 CSP、Referrer-Policy、X-Frame-Options、Permissions-Policy 等基線策略的存在與設定。

• 狀態頁索引：/status#security-headers
• 第三方來源（範例）： 安全標頭報告

Recommendation: 如果下載/解密頁面（例如， /transfer, /d/**）使用更嚴格的策略，內部文件應註明“關鍵路徑更嚴格”，並且在可行的情況下，應選擇支持特定路徑掃描的工具作為補充證據。

12.5 綜合最佳實務掃描

全面掃描涵蓋更廣泛的最佳實務檢查（例如 HTTP 配置、常見弱點、快取和安全性原則組合）。 這些為站點基線提供輔助驗證，但並不等同於協議實施審核。

• 狀態頁面索引：/status#http-observatory
• 第三方來源（範例）： 莫茲拉天文台

12.6 映射原則：證據和聲明 ID

• MUST：每個可驗證的聲明（Claim）在聲明 ID 主列表中都有一個唯一的 ID 和穩定的錨點。
• MUST：聲明的證據欄位僅指向權威來源（第三方報告頁面或官方可複製頁面）並且 不能 指向螢幕截圖、摘要或非權威轉發。
• SHOULD：狀態頁面可以充當證據的“導航集合”，但索賠的主要證據欄位應盡可能指向原始第三方來源。
• MUST：聲明措辭必須與證據範圍一致，避免將「可見基線」誇大為「絕對安全保證」。

索賠 ID 主清單（唯一授權）： /security-privacy-appendix-claim-ids

12.7 時間性與規範性語言

第三方掃描結果會隨著時間的推移而變化（由於掃描程式規則更新、網站配置變更、憑證輪替等）。對證據的引用應使用「可驗證但不是絕對」的措詞。

• SHOULD：在狀態頁面或文件上記錄「上次驗證日期/時間」（如果適用），並允許使用者執行重複驗證。
• MUST：避免使用「永久/絕對」的措詞；使用與證據範圍相符的語言，例如「掃描顯示已啟用/合規」。
• SHOULD：當關鍵安全策略變更（例如，CSP 收緊、TLS 更新）時，請將其記錄在變更日誌中並連結相關的聲明 ID。

12.8 相關聲明 ID（保留）

本章涵蓋「第三人證據和映射原則」。相應的索賠 ID 維護在 附錄：索賠 ID 主列表 作為唯一的權威來源。