Zertifikatstransparenz-Protokoll-Programm von Apple
RICHTLINIEN DES ZERTIFIKATSTRANSPARENZ-PROTOKOLL-PROGRAMMS VON APPLE UND WIE MAN EINE AUFNAHME BEANTRAGEN KANN.
Das Ziel des Zertifikatstransparenz-Protokoll-Programms von Apple ist es, mehrere Zertifikatstransparenz (CT)-Protokolle einzurichten, die auf den Plattformen von Apple vertrauenswürdig sind, um Signed Certificate Timestamps (SCTs) für öffentlich vertrauenswürdige TLS-Server-Authentifizierungszertifikate bereitzustellen.
Programmrichtlinien und -voraussetzungen
RFC 6962
Um in das Zertifikatstransparenz-Protokoll-Programm von Apple aufgenommen zu werden, muss ein Protokoll, das RFC 6962 entspricht, Folgendes erfüllen:
Muss CT gemäß RFC 6962 implementieren.
Es darf nicht zwei oder mehr widersprüchliche Ansichten des Merkle-Baums zu unterschiedlichen Zeiten und/oder gegenüber verschiedenen Parteien darstellen.
Die von Apple geforderte Verfügbarkeit von 99 %, gemessen von Apple.
Keine maximale Merge-Verzögerung (MMD; maximum merge delay) angeben, die 24 Stunden überschreitet.
Ein Zertifikat aufnehmen, für das es innerhalb der maximalen Merge-Verzögerung (MMD) einen Signed Certificate Timestamp (SCT) erstellt hat.
Allen Root-CA-Zertifikaten vertrauen, die im vertrauenswürdigen Speicher von Apple enthalten sind.
Protokolle können Roots vertrauen, die nicht im vertrauenswürdigen Speicher von Apple enthalten sind.
Ein Protokoll, das RFC 6962 entspricht, kann:
abgelaufene Zertifikate ablehnen.
gesperrte Zertifikate ablehnen.
Leaf-Zertifikate ablehnen, die nicht die Extended Key Usage (EKU) von id-kp-serverAuth enthalten.
Protokolloperatoren müssen mindestens 45 Tage im Voraus jegliche Änderungen an den Art(en) von Blattzertifikat(en) schriftlich an certificate-transparency-program@group.apple.com mitteilen, deren Protokolle akzeptiert werden.
STATIC-CT-API
Um in das Zertifikatstransparenz-Protokoll-Programm von Apple aufgenommen zu werden, muss ein Protokoll, das der static-ct-api C2SP-Spezifikation entspricht:
Es muss CT gemäß The Static Certificate Transparency API, v1.0.0 implementieren.
Es darf nicht zwei oder mehr widersprüchliche Ansichten des Merkle-Baums zu unterschiedlichen Zeiten und/oder gegenüber verschiedenen Parteien darstellen.
Die von Apple geforderte Verfügbarkeit von 99 %, gemessen von Apple.
Keine maximale Merge-Verzögerung (MMD; maximum merge delay) angeben, die 1 Stunde überschreitet.
Ein Zertifikat aufnehmen, für das es innerhalb der maximalen Merge-Verzögerung (MMD) einen Signed Certificate Timestamp (SCT) erstellt hat.
Allen Root-CA-Zertifikaten vertrauen, die im vertrauenswürdigen Speicher von Apple enthalten sind.
Protokolle können Roots vertrauen, die nicht im vertrauenswürdigen Speicher von Apple enthalten sind.
Ein Protokoll, das der static-ct-api C2SP-Spezifikation entspricht, kann:
abgelaufene Zertifikate ablehnen.
gesperrte Zertifikate ablehnen.
Leaf-Zertifikate ablehnen, die nicht die Extended Key Usage (EKU) von id-kp-serverAuth enthalten.
Protokolloperatoren müssen mindestens 45 Tage im Voraus jegliche Änderungen an den Art(en) von Blattzertifikat(en) schriftlich an certificate-transparency-program@group.apple.com mitteilen, deren Protokolle akzeptiert werden.
Status von Protokollen auf den Plattformen von Apple
Protokolle, die auf den Plattformen von Apple enthalten sind, können sich in einem der folgenden Status befinden:
Ausstehend
Das Protokoll hat die Aufnahme in die Liste der vertrauenswürdigen Protokolle von Apple angefordert, wurde aber bisher nicht aufgenommen. Ein ausstehendes Protokoll gilt nicht als „gegenwärtig qualifiziert“ oder „einmal qualifiziert“.
Qualifiziert
Das Protokoll wurde in das Programm von Apple aufgenommen und für die Verteilung auf den Plattformen von Apple eingestellt. Ein qualifiziertes Protokoll gilt als „gegenwärtig qualifiziert“.
Verwendbar
SCTs aus dem Protokoll erfüllen zuverlässig die Apple-Richtlinie für Client-CT. Ein verwendbares Protokoll gilt als „gegenwärtig qualifiziert“. Protokolle werden vom qualifizierten in den verwendbaren Zustand überführt, nachdem sie mindestens 74 Tage im qualifizierten Status waren.
Schreibgeschützt
Dem Protokoll wird auf den Plattformen von Apple vertraut, es ist aber schreibgeschützt, d. h. dass das Protokoll keine Zertifikatsübermittlungen mehr akzeptiert. Ein schreibgeschütztes Protokoll gilt als „gegenwärtig qualifiziert“.
Stillgelegt
Dem Protokoll wurde auf den Plattformen von Apple bis zum spezifischen Zeitstempel der Stilllegung vertraut. Ein stillgelegtes Protokoll gilt als „einmal qualifiziert“, wenn der fragliche SCT vor dem Zeitstempel der Stilllegung ausgestellt wurde. Ein stillgelegtes Protokoll gilt nicht als „gegenwärtig qualifiziert“.
Abgelehnt
Dem Protokoll wird im Moment und auch in Zukunft auf den Plattformen von Apple nicht vertraut. Ein abgelehntes Protokoll gilt weder als „gegenwärtig qualifiziert“ noch als „einmal qualifiziert“.
Aufnahmeverfahren
Nachdem ein Protokoll in das Zertifikatstransparenz-Protokoll-Programm von Apple aufgenommen wurde, wird es während einer Überwachungsphase auf Einhaltung der Apple-Richtlinien überprüft. Während dieser Zeit lautet der Protokollstatus „Ausstehend“.
Apple kann jedes Protokoll nach eigenem Ermessen ablehnen. Falls das passiert, erhält das Protokoll den Status „Abgelehnt“. Wenn Apple während der Überwachungsphase keine Probleme feststellt, kann das Protokoll aufgenommen werden, wodurch es den Protokollstatus „Qualifiziert“ erhält.
Apple überwacht das Protokoll fortlaufend auf die Einhaltung der Richtlinien des Protokollprogramms. Der Status eines Protokolls während dieser Zeit kann „Qualifiziert“, „Verwendbar“, „Schreibgeschützt“ oder „Stillgelegt“ sein.
Ein Protokoll kann jederzeit nach Ermessen von Apple oder aufgrund der Nichteinhaltung der Richtlinien des Protokollprogramms stillgelegt werden. Der Protokollstatus lautet dann „Stillgelegt“.
Bewerbung auf Aufnahme
Um die Aufnahme in das CT-Protokollprogramm von Apple zu beantragen, sende eine E-Mail an certificate-transparency-program@group.apple.com, und gib Folgendes an:
Beschreibung des Protokolls, einschließlich:
der Richtlinien für die Annahme von Zertifikaten, falls vorhanden;
der Richtlinie für das Ablehnen von Zertifikaten für die Protokollierung, falls vorhanden;
einer Liste akzeptierter Root-Zertifikate nach Antragsteller-DN und SHA256-Fingerabdruck; und
der Spezifikation (RFC 6962 oder static-ct-api), der das Protokoll entspricht.
Die URL (HTTP) eines öffentlich zugänglichen CT-Protokollservers.
einen öffentlichen Schlüssel für das Protokoll (DER-Codierung der SubjectPublicKeyInfo ASN.1-Struktur).
Die maximale Merge-Verzögerung (MMD) des Protokolls.
Der zeitlich begrenzte Ablaufbereich des Zertifikats des Protokolls, einschließlich:
der
end_exclusive-Wert in ISO 8601 Datum und Uhrzeit im UTC-Format; undder
start_inclusive-Wert in ISO 8601 Datum und Uhrzeit im UTC-Format.
Kontaktinformationen, einschließlich E-Mail-Adressen für zwei Operator-Betriebskontakte und zwei Operator-Vertreterkontakte.
Informationen zu nicht von Apple hergestellten Produkten oder nicht von Apple kontrollierten oder geprüften unabhängigen Websites stellen keine Empfehlung oder Billigung dar. Apple übernimmt keine Verantwortung für die Auswahl, Leistung oder Nutzung von Websites und Produkten Dritter. Apple gibt keine Zusicherungen bezüglich der Genauigkeit oder Zuverlässigkeit der Websites Dritter ab. Kontaktiere den Anbieter, um zusätzliche Informationen zu erhalten.