Πρόγραμμα αρχείων καταγραφής Certificate Transparency της Apple

Μάθετε για τις πολιτικές του προγράμματος αρχείων καταγραφής Certificate Transparency της Apple και πώς μπορείτε να κάνετε αίτηση για συμπερίληψη.

Στόχος του προγράμματος αρχείων καταγραφής Certificate Transparency της Apple είναι η δημιουργία ενός συνόλου αρχείων καταγραφής Certificate Transparency (CT) τα οποία θα θεωρούνται αξιόπιστα στις πλατφόρμες της Apple για την παροχή Χρονικών σφραγίδων υπογεγραμμένου πιστοποιητικού (Signed Certificate Timestamps - SCT) αναφορικά με δημοσίως αξιόπιστα πιστοποιητικά ελέγχου ταυτότητας διακομιστών TLS.

Πολιτικές και απαιτήσεις προγράμματος

Προκειμένου να εξεταστούν για συμπερίληψη στο πρόγραμμα αρχείων καταγραφής Certificate Transparency της Apple, τα αρχεία καταγραφής πρέπει να πληρούν όλες τις παρακάτω απαιτήσεις:

  • Οι περιστάσεις των αρχείων καταγραφής πρέπει να υλοποιούν το πρωτόκολλο CT όπως καθορίζεται από το RFC6962.
  • Ένα αρχείο καταγραφής δεν πρέπει να παρουσιάζει δύο ή περισσότερες συγκρουόμενες προβολές του Merkle Tree σε διαφορετικές χρονικές στιγμές ή/και σε διαφορετικά μέρη.
  • Η μέγιστη περίοδος καθυστέρησης συγχώνευσης (Maximum Merge Delay - MMD) για τα αρχεία καταγραφής είναι 24 ώρες.
  • Ένα αρχείο καταγραφής πρέπει να ενσωματώνει ένα πιστοποιητικό που δημιούργησε μια SCT εντός της περιόδου MMD.
  • Μια περίσταση αρχείου καταγραφής πρέπει να πληροί την απαίτηση χρόνου λειτουργίας 99% της Apple, σύμφωνα με τις μετρήσεις της Apple.
  • Καμία διακοπή του αρχείου καταγραφής δεν πρέπει να διαρκεί περισσότερο από την περίοδο MMD.
  • Ένα αρχείο καταγραφής πρέπει να αποδέχεται πιστοποιητικά που εκδίδονται από το CA ρίζας συμμόρφωσης της Apple για την παρακολούθηση της συμμόρφωσης του αρχείου καταγραφής με αυτές τις πολιτικές.
  • Τα αρχεία καταγραφής πρέπει να θεωρούν αξιόπιστα όλα τα πιστοποιητικά CA ρίζας που περιλαμβάνονται στον χώρο πιστοποιητικών της Apple. Τα αρχεία καταγραφής επιτρέπεται να θεωρούν αξιόπιστες πρόσθετες ρίζες που μπορεί να μην περιλαμβάνονται στον χώρο πιστοποιητικών της Apple.

Έως τρεις περιστάσεις κατάλληλων ή χρησιμοποιήσιμων αρχείων καταγραφής επιτρέπονται ανά χειριστή. Για αρχεία καταγραφής χωρίς περιορισμούς λήξης πιστοποιητικού, μια περίσταση εκφράζεται ως ένα κλειδί υπογραφής URL και αρχείων καταγραφής. Για αρχεία καταγραφής με περιορισμούς λήξης πιστοποιητικού, ένα σύνολο χρονικά καταμερισμένων αρχείων καταγραφής υπολογίζεται ως μία περίσταση. Ακολουθεί ένα παράδειγμα περίστασης ενός αρχείου καταγραφής που εκτελεί τέσσερα χρονικά τμήματα:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC
Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC
Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC
Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Καταστάσεις αρχείων καταγραφής στις πλατφόρμες της Apple

Τα αρχεία καταγραφής που περιλαμβάνονται στις πλατφόρμες της Apple μπορούν να βρίσκονται σε μία από τις παρακάτω καταστάσεις:

Pending (Σε εκκρεμότητα)
Έχει ζητηθεί η συμπερίληψη του αρχείου καταγραφής στη λίστα αξιόπιστων αρχείων καταγραφής της Apple, όμως το αρχείο δεν έχει γίνει δεκτό ακόμη. Ένα αρχείο καταγραφής σε εκκρεμότητα δεν υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή) ούτε ως «once qualified» (κατάλληλο κάποτε).

Qualified (Κατάλληλο)
Το αρχείο καταγραφής έχει γίνει δεκτό στο πρόγραμμα της Apple και έχει οριστεί για διανομή στις πλατφόρμες της Apple. Ένα κατάλληλο αρχείο καταγραφής υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή).

Usable (Χρησιμοποιήσιμο)
Οι σφραγίδες SCT από το αρχείο καταγραφής μπορούν να χρησιμοποιηθούν για τη συμμόρφωση με την πολιτική διαφάνειας πιστοποιητικών (CT) προγραμμάτων-πελάτη της Apple. Ένα χρησιμοποιήσιμο αρχείο καταγραφής υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή). Τα αρχεία καταγραφής μεταβαίνουν από την κατάσταση «qualified» (κατάλληλο) στην κατάσταση «usable» (χρησιμοποιήσιμο) μετά από τουλάχιστον 74 ημέρες στην κατάσταση «qualified» (κατάλληλο).

Read-only (Μόνο για ανάγνωση)
Το αρχείο καταγραφής θεωρείται αξιόπιστο στις πλατφόρμες της Apple, αλλά είναι μόνο για ανάγνωση, δηλαδή το αρχείο καταγραφής έχει σταματήσει να δέχεται υποβολές πιστοποιητικών. Ένα αρχείο καταγραφής μόνο για ανάγνωση υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή).

Retired (Αποσύρθηκε)
Το αρχείο καταγραφής θεωρούνταν αξιόπιστο στις πλατφόρμες της Apple μέχρι τη συγκεκριμένη χρονική σφραγίδα απόσυρσης. Ένα αρχείο καταγραφής που αποσύρθηκε υπολογίζεται ως «once qualified» (κατάλληλο κάποτε) αν η συγκεκριμένη σφραγίδα SCT είχε εκδοθεί πριν από τη χρονική σφραγίδα απόσυρσης. Ένα αρχείο καταγραφής που αποσύρθηκε δεν υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή).

Rejected (Απορρίφθηκε)
Το αρχείο καταγραφής δεν θεωρείται και δεν θα θεωρείται αξιόπιστο στις πλατφόρμες της Apple. Ένα αρχείο καταγραφής που απορρίφθηκε δεν υπολογίζεται ως «currently qualified» (κατάλληλο αυτήν τη στιγμή) ή «once qualified» (κατάλληλο κάποτε).

Διαδικασία συμπερίληψης

Αφού γίνει δεκτό ένα αρχείο καταγραφής στο πρόγραμμα αρχείων καταγραφής Certificate Transparency της Apple, αρχίζει μια περίοδος παρακολούθησης 90 ημερών κατά την οποία ελέγχεται το αρχείο καταγραφής για να διαπιστωθεί αν συμμορφώνεται με την πολιτική της Apple. Στη διάρκεια αυτής της περιόδου, η κατάσταση του αρχείου καταγραφής είναι «pending» (σε εκκρεμότητα).

Η Apple μπορεί να απορρίψει οποιοδήποτε αρχείο καταγραφής κατά τη διακριτική ευχέρειά της. Αν συμβεί αυτό, η κατάσταση του αρχείου καταγραφής θα αλλάξει σε «rejected» (απορρίφθηκε). Αν η Apple δεν διαπιστώσει ζητήματα στη διάρκεια της περιόδου παρακολούθησης, το αρχείο καταγραφής μπορεί να γίνει δεκτό, οπότε η κατάστασή του θα αλλάξει σε «qualified» (κατάλληλο).

Η Apple παρακολουθεί το αρχείο καταγραφής σε συνεχή βάση για να διαπιστώσει αν συμμορφώνεται με τις πολιτικές του προγράμματος αρχείων καταγραφής. Η κατάσταση ενός αρχείου καταγραφής στη διάρκεια αυτής της περιόδου μπορεί να είναι «qualified» (κατάλληλο), «usable» (χρησιμοποιήσιμο), «read-only» (μόνο για ανάγνωση) ή «retired» (αποσύρθηκε).

Ένα αρχείο καταγραφής μπορεί να αποσυρθεί οποιαδήποτε στιγμή, κατά τη διακριτική ευχέρεια της Apple ή λόγω της μη συμμόρφωσής του με τις πολιτικές του προγράμματος αρχείων καταγραφής. Η κατάσταση του αρχείου καταγραφής θα αλλάξει τότε σε «retired» (αποσύρθηκε).

Αίτηση για συμπερίληψη

Για να κάνετε αίτηση για συμπερίληψη στο πρόγραμμα αρχείων καταγραφής CT της Apple, στείλτε email στη διεύθυνση certificate-transparency-program@group.apple.com με τα παρακάτω στοιχεία:

  • Την περιγραφή του αρχείου καταγραφής
  • Την πολιτική για την αποδοχή πιστοποιητικών, συμπεριλαμβανομένης μιας λίστας δεκτών πιστοποιητικών ρίζας κατά DN θέματος και αποτύπωμα SHA256
  • Την πολιτική για την απόρριψη πιστοποιητικών για καταγραφή
  • Την περίοδο MMD του αρχείου καταγραφής
  • Στοιχεία επικοινωνίας, που περιλαμβάνουν διευθύνσεις email και αριθμούς τηλεφώνου για δύο υπεύθυνους δραστηριοτήτων του χειριστή και δύο αντιπροσώπους του χειριστή
  • Μια δημόσια προσβάσιμη διεύθυνση URL διακομιστή αρχείων καταγραφής CT (HTTP)
  • Ένα δημόσιο κλειδί αρχείων καταγραφής CT (κωδικοποίηση DER της δομής ASN.1 του SubjectPublicKeyInfo)

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Υπάρχουν κίνδυνοι στη χρήση του Διαδικτύου. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες. Οι επωνυμίες άλλων εταιρειών και προϊόντων ενδέχεται να είναι εμπορικά σήματα των αντίστοιχων κατόχων τους.

Ημερομηνία δημοσίευσης: