Programa de registros de Transparencia de certificados de Apple

CONOCE LAS POLÍTICAS DEL PROGRAMA DE REGISTROS DE TRANSPARENCIA DE CERTIFICADOS DE APPLE Y CÓMO SOLICITAR LA INCLUSIÓN.

El objetivo del programa de registros de Transparencia de certificados de Apple es establecer un conjunto de registros de Transparencia de certificados (CT) que sean de confianza en las plataformas de Apple con el fin de proporcionar sellos certificados firmados (SCT) para certificados de autenticación de hosts TLS de confianza pública.

Políticas y requisitos del programa

RFC 6962

Para que se considere su inclusión en el programa de registros de Transparencia de certificados de Apple, un registro conforme con RFC 6962 debe:

  • implantar la CT como se especifica en RFC 6962.

  • no presentar dos o más vistas en conflicto del árbol de Merkle en distintos momentos o a distintos grupos.

  • cumplir el requisito de tiempo de actividad del 99 % que Apple exige, medido por Apple.

  • no especificar un retraso de fusión máximo (MMD) que supere las 24 horas.

  • incorporar dentro del tiempo MMD un certificado para el que haya creado un SCT.

  • confiar en todos los certificados raíz de autoridad de certificación incluidos en la tienda Trust Store de Apple.

    • Los registros pueden confiar en certificados raíz que no se incluyan en la tienda Trust Store de Apple.

Un registro conforme con RFC 6962 puede:

  • rechazar certificados caducados.

  • rechazar certificados revocados.

  • rechazar certificados de clave pública que no contengan la extensión EKU (Extended Key Usage) con id-kp-serverAuth.

    • Los operadores de registro deben notificar por escrito con un mínimo de 45 días de antelación a certificate-transparency-program@group.apple.com de cualquier cambio en el tipo de certificados de clave pública que se acepten en sus registros.

STATIC-CT-API

Para que se considere su inclusión en el programa de registros de Transparencia de certificados de Apple, un registro conforme con la especificación static-ct-api C2SP debe:

  • implementar la CT, tal y como se especifica en The Static Certificate Transparency API, v1.0.0.

  • no presentar dos o más vistas en conflicto del árbol de Merkle en distintos momentos o a distintos grupos.

  • cumplir el requisito de tiempo de actividad del 99 % que Apple exige, medido por Apple.

  • no especificar un retraso de fusión máximo (MMD) que supere 1 minuto.

  • incorporar dentro del tiempo MMD un certificado para el que haya creado un SCT.

  • confiar en todos los certificados raíz de autoridad de certificación incluidos en la tienda Trust Store de Apple.

    • Los registros pueden confiar en certificados raíz que no se incluyan en la tienda Trust Store de Apple.

Un registro conforme con la especificación static-ct-api C2SP puede:

  • rechazar certificados caducados.

  • rechazar certificados revocados.

  • rechazar certificados de clave pública que no contengan la extensión EKU (Extended Key Usage) con id-kp-serverAuth.

    • Los operadores de registro deben notificar por escrito con un mínimo de 45 días de antelación a certificate-transparency-program@group.apple.com de cualquier cambio en el tipo de certificados de clave pública que se acepten en sus registros.

Estados de los registros en las plataformas de Apple

Los registros incluidos en las plataformas de Apple pueden tener los siguientes estados:

Pendiente

El registro ha solicitado la inclusión en la lista de registros de confianza de Apple, pero todavía no se ha aceptado. Un registro pendiente no cuenta como «actualmente cualificado» o «anteriormente cualificado».

Cualificado

El registro ha sido aceptado en el programa de Apple y está configurado para su distribución a las plataformas de Apple. Un registro cualificado cuenta como «actualmente cualificado».

Utilizable

Se puede confiar en que los SCT del registro cumplan la política CT de cliente de Apple. Un registro utilizable cuenta como «actualmente cualificado». Los registros pasan de cualificados a utilizables tras un mínimo de 74 días en el estado cualificado.

Solo lectura

El registro es de confianza en las plataformas de Apple, pero es de solo lectura; es decir, ha dejado de aceptar envíos de certificados. Un registro de solo lectura cuenta como «actualmente cualificado».

Retirado

El registro fue de confianza en las plataformas de Apple hasta alcanzarse la marca de tiempo de retirada especificada. Un registro retirado cuenta como «anteriormente cualificado» si el SCT en cuestión se emitió antes de la marca de tiempo de retirada. Un registro retirado no cuenta como «actualmente cualificado».

Rechazado

El registro no es ni será de confianza en las plataformas de Apple. Un registro rechazado no cuenta como «actualmente cualificado» ni «anteriormente cualificado».

Proceso de inclusión

Una vez que se acepta un registro en el programa de registros de Transparencia de certificados de Apple, se le somete a un periodo de supervisión durante el cual se comprueba si cumple las políticas de Apple. Durante este tiempo, su estado es «pendiente».

Apple puede rechazar cualquier registro a su discreción. En ese caso, el estado del registro pasa a ser «rechazado». Si Apple no encuentra ningún problema durante el periodo de supervisión, el registro puede ser aceptado; en dicho caso, su estado pasa a ser «cualificado».

Apple supervisa el registro de forma constante para comprobar que cumpla las políticas del programa de registros. El estado de un registro durante este tiempo puede ser «cualificado», «utilizable», «solo lectura» o «retirado».

Apple puede retirar un registro en cualquier momento a su discreción o por incumplimiento de las políticas del programa de registros. En este caso el estado del registro pasa a ser «retirado».

Solicitar la inclusión

Para solicitar la inclusión en el programa de registros CT de Apple, envía un correo electrónico a certificate-transparency-program@group.apple.com que incluya la siguiente información:

  • La descripción del registro, que incluya:

    • la política de aceptación de certificados, si la hay;

    • la política de rechazo de certificados para el registro, si la hay;

    • una lista de certificados raíz aceptados por DN de sujeto y huella SHA256; y

    • la especificación (RFC 6962 o static-ct-api) que sigue el registro.

  • La dirección URL de host de registro CT de acceso público (HTTP).

  • La clave pública del registro (codificación DER de la estructura ASN.1 de SubjectPublicKeyInfo).

  • El MMD del registro.

  • El intervalo de vencimiento del certificado fragmentado temporalmente del registro, que incluye:

    • el valor end_exclusive en ISO 8601 Fecha y Hora en formato UTC; y

    • el valor start_inclusive en ISO 8601 Fecha y hora en formato UTC.

  • Información de contacto que incluya la dirección de correo electrónico de dos contactos de operaciones de operador y dos contactos de representante de operador.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: