Co je program Apple pro protokoly transparentnosti certifikátů

SEZNAMTE SE SE ZÁSADAMI PROGRAMU APPLE PRO PROTOKOLY TRANSPARENTNOSTI CERTIFIKÁTŮ A PŘEČTĚTE SI, JAK SI ZAŽÁDAT O ZAŘAZENÍ.

Cílem programu Apple pro protokoly transparentnosti certifikátů (Certificate Transparency log program) je vytvořit sadu protokolů o transparentnosti certifikátů, kterým budu platformy Apple důvěřovat a přebírat od nich podepsané časové známky certifikátů (SCT) pro veřejně důvěryhodné certifikáty pro ověřování k TLS serverům.

Zásady a požadavky programu

RFC 6962

Aby bylo možné zvážit zahrnutí do programu Apple pro protokoly transparentnosti certifikátů, protokol vyhovující RFC 6962:

  • musí implementovat známku CT specifikovanou RFC 6962;

  • nesmí v různých časech nebo různým stranám předkládat dva a víc konfliktních náhledů na hašový (Merkleův) strom;

  • musí splňovat požadavky společnosti Apple na 99% provozuschopnost (na základě měření společnosti Apple);

  • nesmí specifikovat maximální prodlevu sloučení (MMD), která přesahuje 24 hodin;

  • musí obsahovat certifikát o tom, že před uplynutím MMD byla vytvořena podepsaná časová známka certifikátu;

  • musí důvěřovat všem kořenovým certifikátům certifikačních autorit obsaženým v úložišti důvěryhodných certifikátů společnosti Apple.

    • Protokoly můžou důvěřovat kořenovým certifikátům, které nejsou součástí úložiště důvěryhodných certifikátů společnosti Apple.

Protokol splňující RFC 6962 může:

  • odmítnout certifikáty, jejichž platnost vypršela;

  • odmítnout odvolané certifikáty;

  • zamítnout listové certifikáty, které neobsahují rozšířené využití klíče (EKU) id-kp-serverAuth.

    • Provozovatelé protokolů musí nejméně 45 dnů předem zaslat písemné oznámení o jakýchkoli změnách typu listových certifikátů, které jejich protokoly přijímají, na adresu certificate-transparency-program@group.apple.com.

STATIC-CT-API

Aby bylo možné zvážit zahrnutí do programu Apple pro protokoly transparentnosti certifikátů, protokol vyhovující specifikaci static-ct-api C2SP:

  • musí implementovat známku CT specifikovanou rozhraním API pro transparentnost statických certifikátů v1.0.0;

  • nesmí v různých časech nebo různým stranám předkládat dva a víc konfliktních náhledů na hašový (Merkleův) strom;

  • musí splňovat požadavky společnosti Apple na 99% provozuschopnost (na základě měření společnosti Apple);

  • nesmí specifikovat maximální prodlevu sloučení (MMD), která přesahuje 1 minutu;

  • musí obsahovat certifikát o tom, že před uplynutím MMD byla vytvořena podepsaná časová známka certifikátu;

  • musí důvěřovat všem kořenovým certifikátům certifikačních autorit obsaženým v úložišti důvěryhodných certifikátů společnosti Apple.

    • Protokoly můžou důvěřovat kořenovým certifikátům, které nejsou součástí úložiště důvěryhodných certifikátů společnosti Apple.

Protokol splňující specifikaci static-ct-api C2SP může:

  • odmítnout certifikáty, jejichž platnost vypršela;

  • odmítnout odvolané certifikáty;

  • zamítnout listové certifikáty, které neobsahují rozšířené využití klíče (EKU) id-kp-serverAuth.

    • Provozovatelé protokolů musí nejméně 45 dnů předem zaslat písemné oznámení o jakýchkoli změnách typu listových certifikátů, které jejich protokoly přijímají, na adresu certificate-transparency-program@group.apple.com.

Stavy protokolů na platformách Apple

Protokoly obsažené na platformách Apple se můžou nacházet v některém z těchto stavů:

Čeká na schválení

Protokol má zažádáno o zařazení na seznam důvěryhodných protokolů Apple, ale zatím nebyl přijat. Čekající protokol se nepočítá jako „momentálně vyhovující“ ani jako „dříve vyhovující“.

Vyhovující

Protokol byl přijat do programu Apple a může být distribuován do platforem Apple. Vyhovující protokol se počítá jako „momentálně vyhovující“.

Použitelný

U podepsaných časových známek certifikátů z tohoto protokolu se dá spolehnout, že splňují zásady Apple pro transparentnost klientských certifikátů. Použitelný protokol se počítá jako „momentálně vyhovující“. Protokoly přecházejí do použitelného stavu po uplynutí minimálně 74 dní ve vyhovujícím stavu.

Jen ke čtení

Protokolu se na platformách Apple důvěřuje, ale protokol je v režimu jen ke čtení – jinými slovy, přestal přijímat nové certifikáty. Protokol jen ke čtení se počítá jako „momentálně vyhovující“.

Vyřazený

Protokolu se na platformách Apple důvěřovalo do uplynutí zadané časové známky pro vyřazení. Vyřazený protokol se počítá jako „dříve vyhovující“ v případě, že dotyčná podepsaná časová známka transparentnosti byla vydána před časovou známkou pro vyřazení. Vyřazený protokol se nepočítá jako „momentálně vyhovující“.

Odmítnutý

Tomuto protokolu se na platformách Apple nedůvěřuje a důvěřovat nebude. Odmítnutý protokol se nepočítá jako „momentálně vyhovující“ ani jako „dříve vyhovující“.

Proces zařazení

Po přijetí protokolu do programu Apple pro protokoly transparentnosti certifikátů běží monitorovací období, kdy se kontroluje, jestli protokol vyhovuje zásadám Apple. Během této doby je protokol ve stavu „čeká na schválení“.

Apple může jakýkoli protokol na základě vlastního uvážení odmítnout. V takovém případě se protokol přesune do stavu „odmítnutý“. Pokud Apple nezjistí během monitorovacího období žádné problémy, může být protokol schválen – v tu chvíli se přesune do stavu „vyhovující“.

Apple bude průběžně monitorovat, jestli protokol splňuje zásady programu protokolů. Během této doby se protokol může nacházet ve stavech „vyhovující“, „použitelný“, „jen ke čtení“ nebo „vyřazený“.

Protokol může být kdykoli vyřazen na základě vlastního uvážení společnosti Apple nebo kvůli neplnění podmínek programu protokolů. V tom případě se jeho stav změní na „vyřazený“.

Požádání o zařazení

Pokud chcete být zařazeni do programu Apple pro protokoly transparentnosti certifikátů, pošlete nám e-mail na certificate-transparency-program@group.apple.com

  • Popis protokolu, včetně:

    • případných zásad pro přijímání certifikátů;

    • případných zásad pro odmítání protokolovacích certifikátů;

    • seznamu přijímaných kořenových certifikátů podle rozlišujícího názvu subjektu a otisku SHA256;

    • specifikace (RFC 6962 nebo static-ct-api), kterou protokol splňuje;

  • veřejně dostupné URL serveru s protokoly transparentnosti certifikátů (HTTP);

  • veřejného klíče pro protokoly transparentnosti certifikátů (kódování DER ve struktuře SubjectPublicKeyInfo ASN.1);

  • MMD protokolu.

  • Rozsah vypršení platnosti certifikátu dočasně děleného protokolu včetně:

    • hodnoty end_exclusive ve formátu ISO 8601 Datum a čas v UTC; a

    • hodnoty start_inclusive ve formátu ISO 8601 Datum a čas v UTC.

  • Kontaktní údaje, včetně e-mailových adres dvou provozních kontaktů operátora a dvou jednatelů operátora.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: