Co je program Apple pro protokoly transparentnosti certifikátů
Seznamte se se zásadami programu Apple pro protokoly transparentnosti certifikátů a přečtěte si, jak si zažádat o zařazení.
Cílem programu Apple pro protokoly transparentnosti certifikátů (Certificate Transparency log program) je vytvořit sadu protokolů o transparentnosti certifikátů, kterým budu platformy Apple důvěřovat a přebírat od nich podepsané časové známky certifikátů (SCT) – ty se používají u veřejných důvěryhodných certifikátů pro ověřování k TLS serverům.
Zásady a požadavky programu
Abyste mohli být začleněni do programu Apple pro protokoly transparentnosti certifikátů, musí vaše protokoly splňovat následující požadavky:
Instance protokolů musí implementovat transparentnost certifikátů, jak je popsáno v dokumentu RFC6962.
Protokol nesmí v různých časech nebo různým stranám předkládat dva a víc konfliktních náhledů na hašový (Merkleův) strom.
Maximální prodleva před sloučením (MMD) je u protokolů 24 hodin.
Protokol musí obsahovat certifikát o tom, že před uplynutím MMD byla vytvořena podepsaná časová známka certifikátu.
Všechny instance protokolu musí splňovat požadavek společnosti Apple na dostupnost v 99 % času (podle měření společnosti Apple).
Žádný výpadek protokolu nesmí trvat déle než MMD.
Protokol musí přijímat certifikáty vydané kořenovou certifikační autoritou Apple, které monitorují, jestli protokol vyhovuje těmto zásadám.
Protokol musí důvěřovat všem certifikátům kořenových certifikačních autorit uvedeným v úložišti důvěryhodných certifikátů podle společnosti Apple. Protokoly můžou důvěřovat i dalším kořenovým autoritám, které nemusí být uvedené v úložišti důvěryhodných certifikátů podle společnosti Apple.
Na jednoho operátora jsou povolené maximálně tři vyhovující nebo použitelné instance protokolu. U protokolů bez omezení vypršení certifikátu se jako jedna instance počítá URL s klíčem pro podepsání protokolu. U protokolů s omezeními vypršení certifikátu se jako jedna instance počítá sada protokolů s časovými úseky („time shards“). Tady je příklad jedné instance protokolu se čtyřmi časovými úseky:
Protokol „Loggy 2020“ společnosti A: přijímá certifikáty, které vyprší mezi 2020-01-01 00:00:00 UTC a 2021-01-01 00:00:00 UTC
Protokol „Loggy 2021“ společnosti A: přijímá certifikáty, které vyprší mezi 2021-01-01 00:00:00 UTC a 2022-01-01 00:00:00 UTC
Protokol „Loggy 2022“ společnosti A: přijímá certifikáty, které vyprší mezi 2022-01-01 00:00:00 UTC a 2023-01-01 00:00:00 UTC
Protokol „Loggy 2023“ společnosti A: přijímá certifikáty, které vyprší mezi 2023-01-01 00:00:00 UTC a 2024-01-01 00:00:00 UTC
Stavy protokolů na platformách Apple
Protokoly obsažené na platformách Apple se můžou nacházet v některém z těchto stavů:
Čeká na schválení
Protokol má zažádáno o zařazení na seznam důvěryhodných protokolů Apple, ale zatím nebyl přijat. Čekající protokol se nepočítá jako „momentálně vyhovující“ ani jako „dříve vyhovující“.
Vyhovující
Protokol byl přijat do programu Apple a může být distribuován do platforem Apple. Vyhovující protokol se počítá jako „momentálně vyhovující“.
Použitelný
U podepsaných časových známek certifikátů z tohoto protokolu se dá spolehnout, že splňují zásady Apple pro transparentnost klientských certifikátů. Použitelný protokol se počítá jako „momentálně vyhovující“. Protokoly přecházejí do použitelného stavu po uplynutí minimálně 74 dní ve vyhovujícím stavu.
Jen ke čtení
Protokolu se na platformách Apple důvěřuje, ale protokol je v režimu jen ke čtení – jinými slovy, přestal přijímat nové certifikáty. Protokol jen ke čtení se počítá jako „momentálně vyhovující“.
Vyřazený
Protokolu se na platformách Apple důvěřovalo do uplynutí zadané časové známky pro vyřazení. Vyřazený protokol se počítá jako „dříve vyhovující“ v případě, že dotyčná podepsaná časová známka transparentnosti byla vydána před časovou známkou pro vyřazení. Vyřazený protokol se nepočítá jako „momentálně vyhovující“.
Odmítnutý
Tomuto protokolu se na platformách Apple nedůvěřuje a důvěřovat nebude. Odmítnutý protokol se nepočítá jako „momentálně vyhovující“ ani jako „dříve vyhovující“.
Proces zařazení
Po přijetí protokolu do programu Apple pro protokoly transparentnosti certifikátů běží 90denní monitorovací období, kdy se kontroluje, jestli protokol vyhovuje zásadám Apple. Během této doby je protokol ve stavu „čeká na schválení“.
Apple může jakýkoli protokol na základě vlastního uvážení odmítnout. V takovém případě se protokol přesune do stavu „odmítnutý“. Pokud Apple nezjistí během monitorovacího období žádné problémy, může být protokol schválen – v tu chvíli se přesune do stavu „vyhovující“.
Apple bude průběžně monitorovat, jestli protokol splňuje zásady programu protokolů. Během této doby se protokol může nacházet ve stavech „vyhovující“, „použitelný“, „jen ke čtení“ nebo „vyřazený“.
Protokol může být kdykoli vyřazen na základě vlastního uvážení společnosti Apple nebo kvůli neplnění podmínek programu protokolů. V tom případě se jeho stav změní na „vyřazený“.
Požádání o zařazení
Pokud chcete být zařazeni do programu Apple pro protokoly transparentnosti certifikátů, pošlete nám e-mail na certificate-transparency-program@group.apple.com a uveďte v něm tyto údaje:
Popis protokolu
Zásady pro přijímání certifikátů, včetně seznamu přijatých kořenových certifikátů. U každého subjektu musí být uvedený název domény a otisk SHA256.
Zásady pro odmítání protokolovacích certifikátů.
MMD protokolu.
Kontaktní údaje, včetně e-mailových adres a telefonních čísel dvou provozních kontaktů operátora a dvou jednatelů operátora.
Veřejně dostupná URL (HTTP) serveru s protokoly transparentnosti certifikátů
Veřejný klíč pro protokoly transparentnosti certifikátů (kódování DER ve struktuře SubjectPublicKeyInfo ASN.1)
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.