Apples logprogram for certifikatgennemsigtighed
DU KAN LÆSE MERE OM RETNINGSLINJERNE FOR APPLES LOGPROGRAM FOR CERTIFIKATGENNEMSIGTIGHED OG OM, HVORDAN DU ANSØGER OM ADGANG.
Målet for Apples logprogram for certifikatgennemsigtighed er at etablere en række logarkiver for certifikatgennemsigtighed (CT), der er godkendt på Apples platforme til at levere Tidsstemplinger for signeret certifikat (SCT) til offentligt godkendte TLS-servergodkendelsescertifikater.
Retningslinjer og krav for programmet
RFC 6962
Hvis du vil i betragtning til i Apples logprogram for certifikatgennemsigtighed, skal en logfil, der er i overensstemmelse med RFC 6962:
Implementere CT som specificeret i RFC 6962.
Ikke præsentere to eller flere modstridende synspunkter på Merkle Tree på forskellige tidspunkter og/eller til forskellige parter.
Opfylde Apples krav til oppetid på 99 % målt af Apple.
Ikke angive en MMD (Maximum Merge Delay), der overstiger 24 timer.
Inkorporere et certifikat, som det oprettede en SCT for inden for MMD'en.
Stole på alle rodcertifikater fra certifikatmyndigheder, der er inkluderet i Apples Trust Store.
Logfiler kan godkende rødder, der ikke er inkluderet i Apples Trust Store.
En log, der er i overensstemmelse med RFC 6962, kan:
Afvise udløbne certifikater.
Afvise tilbagekaldte certifikater.
Afvise bladcertifikater, der ikke indeholder EKU'en (id-kp-serverAuth Extended Key Usage).
Logoperatører skal give mindst 45 dages skriftlig varsel til certificate-transparency-program@group.apple.com, hvis de ændrer det accepterede sæt af bladcertifikater, som deres logge accepterer.
STATIC-CT-API
Hvis du vil i betragtning til i Apples logprogram for certifikatgennemsigtighed, skal en logfil, der er i overensstemmelse med static-ct-api C2SP:
Implementere CT som angivet af Static Certificate Transparency API, v1.0.0.
Ikke præsentere to eller flere modstridende synspunkter på Merkle Tree på forskellige tidspunkter og/eller til forskellige parter.
Opfylde Apples krav til oppetid på 99 % målt af Apple.
Ikke angive en MMD (Maximum Merge Delay), der overstiger 1 minut.
Inkorporere et certifikat, som det oprettede en SCT for inden for MMD'en.
Stole på alle rodcertifikater fra certifikatmyndigheder, der er inkluderet i Apples Trust Store.
Logfiler kan godkende rødder, der ikke er inkluderet i Apples Trust Store.
En log, der er i overensstemmelse med C2SP-specifikationen for static-ct-api, kan:
Afvise udløbne certifikater.
Afvise tilbagekaldte certifikater.
Afvise bladcertifikater, der ikke indeholder EKU'en (id-kp-serverAuth Extended Key Usage).
Logoperatører skal give mindst 45 dages skriftlig varsel til certificate-transparency-program@group.apple.com, hvis de ændrer det accepterede sæt af bladcertifikater, som deres logge accepterer.
Logarkivers status på Apples platforme
Logarkiver, der ikke er inkluderet på Apples platforme, kan have en af følgende statusser:
Afventende
Logarkivet har anmodet om inklusion på Apples liste over godkendte logarkiver, men er ikke blevet godkendt endnu. Et afventende logarkiv tæller ikke som "kvalificeret på nuværende tidspunkt" eller "tidligere kvalificeret."
Kvalificeret
Logarkivet er blevet godkendt til Apples program og gjort klar til distribution på Apples platforme. Et kvalificeret logarkiv tæller som "kvalificeret på nuværende tidspunkt."
Brugbar
SCT'er fra logarkivet lever op til Apples retningslinjer for klient-CT'er. Et brugbart logarkiv tæller som "kvalificeret på nuværende tidspunkt." Logarkivets overgang fra kvalificeret til brugbar efter minimum 74 dage med status som kvalificeret.
Skrivebeskyttet
Logarkivet er godkendt på Apples platforme, men er skrivebeskyttet, dvs. at logarkivet ikke længere godkender certifikatindsendelser. Et skrivebeskyttet logarkiv tæller som "kvalificeret på nuværende tidspunkt".
Tilbagetrukket
Logarkivet var godkendt på Apples platforme indtil det specifikke tidsstempel for tilbagetrækning. Et tilbagetrukket logarkiv tæller som "tidligere kvalificeret", hvis den pågældende SCT blev udstedt før tidsstemplet for tilbagetrækning. Et tilbagetrukket logarkiv tæller ikke som "kvalificeret på nuværende tidspunkt."
Afvist
Logarkivet er ikke og bliver ikke godkendt på Apples platforme. Et afvist logarkiv tæller ikke som "kvalificeret på nuværende tidspunkt" eller "tidligere kvalificeret."
Inklusionsproces
Når et logarkiv er blevet godkendt til Apples logprogram for certifikatgennemsigtighed, bliver logarkivet i en periode overvåget for at se, om det overholder Apples retningslinjer. I løbet af denne periode har logarkivet status som "afventende."
Apple kan afvise ethvert logarkiv efter eget skøn. Hvis dette sker, får logarkivet status som "afvist." Hvis Apple ikke opdager problemer i løbet af overvågningsperioden, kan logarkivet blive godkendt, hvorefter det får status som "kvalificeret."
Apple overvåger løbende logarkivet for at se, om det overholder retningslinjerne for logprogrammet. I løbet af denne periode kan et logarkivs status være "kvalificeret", "brugbar", "skrivebeskyttet" eller "tilbagetrukket."
Et logarkiv kan til enhver tid blive trukket tilbage, efter Apples skøn eller som resultat af manglende overholdelse af retningslinjerne for logprogrammet. Logarkivets status skifter derefter til "tilbagetrukket."
Ansøg om inklusion
Hvis du vil ansøge om at blive inkluderet i Apples logprogram for certifikatgennemsigtighed, skal du sende en e-mail til certificate-transparency-program@group.apple.com og inkludere følgende:
Logfilens beskrivelse, herunder:
Politikken for accept af certifikater, hvis en sådan findes.
Politikken for afvisning af certifikater til logning.
En liste over accepterede rodcertifikater ifølge Subject DN og SHA256-fingeraftryk.
Specifikationen (RFC 6962 eller static-ct-api), som loggen er i overensstemmelse med.
Den offentligt tilgængelige URL på en CT-logserver (HTTP).
Loggens offentlige nøgle (DER-kodning af SubjectPublicKeyInfo ASN.1-strukturen).
Logarkivets MMD.
Loggens tidsmæssigt fragmenterede certifikatudløbsinterval, herunder:
Værdien af
end_exclusivei UTC-format for Dato og klokkeslæt ifølge ISO 8601.Værdien af
start_inclusivei UTC-format for Dato og klokkeslæt ifølge ISO 8601.
Kontaktoplysninger, herunder e-mailadressen for to af operatørens driftskontakter og to af operatørens repræsentationskontakter.
Oplysninger om produkter, der ikke er produceret af Apple, eller uafhængige websteder, der ikke styres eller testes af Apple, leveres uden Apples anbefaling eller godkendelse. Apple påtager sig intet ansvar, hvad angår valg, ydeevne eller brug af websteder eller produkter fra andre producenter. Apple giver ingen erklæringer med hensyn til nøjagtigheden eller pålideligheden af websteder fra andre producenter. Kontakt producenten for at få flere oplysninger.