برنامج تسجيل شفافية الشهادات من Apple
تعرّف على سياسات برنامج تسجيل شفافية الشهادات من Apple وكيفية التقدم بطلب تضمين.
يتمثل الهدف من برنامج تسجيل شفافية الشهادات من Apple في إنشاء مجموعة من سجلات شفافية الشهادات (CT) الموثوق بها على أنظمة Apple الأساسية من أجل توفير طوابع زمنية لشهادات موقعة (SCT) لشهادات اعتماد خادم TLS الموثوق بها بشكل عام.
سياسات ومتطلبات البرنامج
للنظر في طلب التضمين في برنامج تسجيل شفافية الشهادات من Apple، ينبغي أن تفي السجلات بالمتطلبات التالية:
ينبغي أن تُطبق مثيلات السجلات شفافية الشهادات، كما هو موضح في RFC6962.
ينبغي ألا يتضمن السجل اثنين أو أكثر من طرق العرض المتضاربة لخوارزمية Merkle Tree في أوقات مختلفة و/أو لجهات مختلفة.
الحد الأقصى لمهلة الدمج (MMD) للسجلات 24 ساعة.
ينبغي أن يتضمن السجل شهادة تم إنشاء طابع SCT لها خلال فترة MMD.
ينبغي أن يفي مثيل السجل بمتطلبات Apple لفترة التشغيل التي تصل إلى 99%، بناءً على قياس Apple.
لا يمكن أن يستمر أي عطل في السجل لفترة أطول من فترة MMD.
ينبغي أن يقبل السجل الشهادات الصادرة من مرجع مصدق الجذر الخاص بالامتثال من Apple لمراقبة امتثال السجل لهذه السياسات.
ينبغي أن تمنح السجلات الثقة لجميع شهادات المرجع المصدق الجذرية المضمنة في متجر Apple للشهادات الموثوق بها. يجوز للسجلات منح الثقة لجذور إضافية قد تكون غير مضمنة في متجر Apple للشهادات الموثوق بها.
كحد أقصى، يُسمح بثلاثة مثيلات سجلات قابلة للاستخدام أو مؤهلة لكل مشغل. بالنسبة إلى السجلات التي لا تتضمن قيودًا لصلاحية الشهادة، يتم تمثيل مثيل بعنوان URL ومفتاح توقيع للسجل. وبالنسبة إلى السجلات التي تتضمن قيودًا لصلاحية الشهادة، يتم اعتبار مجموعة من السجلات مجزأة زمنيًا كمثيل واحد. وفيما يلي مثال على مثيل سجل واحد ينفذ أربعة تجزئات زمنية.
Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC
Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC
Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC
Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC
حالات السجلات على أنظمة Apple الأساسية
يمكن أن يكون السجل المضمن على أنظمة Apple الأساسية بإحدى الحالات التالية:
Pending (معلق)
طلب السجل التضمين في قائمة سجلات Apple الموثوق بها، لكنه لم يُقبل بعد. لا يُعتبَر السجل المعلق كسجل "مؤهل حاليًا" أو "مؤهل مرة واحدة".
Qualified (مؤهل)
تم قبول السجل في برنامج Apple وتعيينه للتوزيع على أنظمة Apple الأساسية. لا يُعتبَر السجل المؤهل كسجل "مؤهل حاليًا".
Usable (قابل للاستعمال)
يمكن الاعتماد على الطوابع الزمنية للشهادات الموقعة (SCT) من السجل في استيفاء سياسة Apple لشفافية شهادات العميل. يُعتبَر السجل القابل للاستعمال كسجل "مؤهل حاليًا". تنتقل السجلات من الحالة "مؤهل" إلى الحالة "قابل للاستخدام" بعد أن تظل بالحالة "مؤهل" لفترة لا تقل عن 74 يومًا.
للقراءة فقط
يكون السجل موثوقًا به على أنظمة Apple الأساسية، ولكن للقراءة فقط؛ أي أن السجل قد توقف عن قبول عمليات إرسال الشهادات. علمًا بأن السجل للقراءة فقط يتم احتسابه كسجل "مؤهل حاليًا".
منتهي الصلاحية
كان السجل موثوقًا به على أنظمة Apple الأساسية حتى الوصول إلى الطابع الزمني المحدد لانتهاء الصلاحية. يُعتبَر السجل منتهي الصلاحية كسجل "مؤهل مرة واحدة" إذا كان طابع SCT ذو الصلة قد تم إصداره قبل الطابع الزمني لانتهاء الصلاحية. لا يُحتسب السجل منتهي الصلاحية كسجل "مؤهل حاليًا".
Rejected (مرفوض)
السجل ليس ولن يصبح موثوقًا به على أنظمة Apple الأساسية. لا يُعتبَر السجل المرفوض كسجل "مؤهل حاليًا" أو "مؤهل مرة واحدة".
عملية التضمين
بعد قبول السجل في برنامج تسجيل شفافية الشهادات من Apple، تتم مراقبة السجل لمدة 90 يومًا للتأكد من امتثاله لسياسة Apple. وخلال هذه الفترة، تكون حالة السجل "معلق".
يجوز لـ Apple رفض أي سجل، حسب تقديرها. وفي هذه الحالة، تتحول حالة السجل إلى "مرفوض". إذا لم تكتشف Apple أي مشكلات أثناء فترة المراقبة، يمكن قبول السجل، وحينئذٍ تصبح حالة السجل "مؤهل".
تراقب Apple السجل بصفة مستمرة للتأكد من امتثاله لسياسات برنامج التسجيل. وخلال هذه الفترة، قد تكون حالة السجل "مؤهل" أو "قابل للاستعمال" أو "للقراءة فقط" أو "منتهي الصلاحية".
يجوز إنهاء صلاحية السجل في أي وقت حسب تقدير Apple أو نتيجة لعدم الالتزام بسياسات برنامج التسجيل. وحينئذٍ تصبح حالة السجل "منتهي الصلاحية".
التقدم بطلب للتضمين
للتقدم بطلب تضمين في برنامج تسجيل شفافية الشهادات من Apple، أرسل رسالة إلكترونية إلى certificate-transparency-program@group.apple.com مع ذكر ما يلي:
وصف السجل
سياسة قبول الشهادات، بما في ذلك قائمة بالشهادات الجذرية المقبولة بواسطة Subject DN وبصمة إصبع SHA256
سياسة رفض تسجيل الشهادات
الحد الأقصى لمهلة الدمج (MMD) للسجل
معلومات جهات الاتصال، بما في ذلك عناوين البريد الإلكتروني والأرقام الهاتفية الخاصة بجهتي اتصال من فريق عمليات المشغل وجهتي اتصال من فريق ممثليه
عنوان URL لخادم سجل CT يمكن الوصول إليه بشكل عام (HTTP)
مفتاح عام لسجل CT (ترميز DER لبنية SubjectPublicKeyInfo ASN.1)
يتم تقديم المعلومات حول المنتجات التي لم تُصنّعها Apple أو مواقع الويب المستقلة التي لا تخضع للمراقبة أو الاختبار من جانب Apple بدون توصيات أو موافقة. ولا تتحمّل Apple أية مسؤولية فيما يتعلق باختيار مواقع الويب والمنتجات التابعة لجهات خارجية أو أدائها أو استخدامها. ولا تُقدّم Apple أية ضمانات فيما يتعلق بدقة أو موثوقية مواقع الويب التابعة لجهات خارجية. اتصل بالبائع للحصول على المزيد من المعلومات.