Programa de registros de Transparencia de certificados de Apple

Conoce las políticas del programa de registros de Transparencia de certificados de Apple y cómo solicitar la inclusión.

El objetivo del programa de registros de Transparencia de certificados de Apple es establecer un conjunto de registros de Transparencia de certificados (CT) que sean de confianza en las plataformas de Apple con el fin de proporcionar sellos certificados firmados (SCT) para certificados de autenticación de servidores de confianza pública.

Políticas y requisitos del programa

Para que se considere su inclusión en el programa de registros de Transparencia de certificados de Apple, un registro debe satisfacer todos los requisitos siguientes:

• Las instancias de registro deben implementar la CT tal y como se especifica en RFC6962.

• Un registro no debe presentar dos o más vistas en conflicto del árbol de Merkle en distintos momentos o a distintos grupos.

• El retraso de fusión máximo (MMD) para los registros es de 24 horas.

• Un registro debe incorporar dentro del tiempo MMD un certificado para el que haya creado un SCT.

• Una instancia de registro debe cumplir el requisito de tiempo de actividad del 99 % que Apple exige, medido por Apple.

• Ningún periodo de inactividad de registro puede ser superior al MMD.

• Un registro debe aceptar los certificados emitidos por la autoridad de certificación raíz de cumplimiento de Apple con el fin de supervisar que cumpla estas políticas.

• Los registros deben confiar en todos los certificados raíz de autoridad de certificación incluidos en la tienda Trust Store de Apple. Se permite que los registros confíen en certificados raíz adicionales no incluidos en la tienda Trust Store de Apple.

Se admite un máximo de tres instancias de registros cualificados o utilizables por cada operador. Para los registros sin restricciones de vencimiento de certificados, una instancia se representa como una URL y una clave de desencriptación de registro. Para los registros con restricciones de vencimiento de certificados, un conjunto de registros fragmentados según el tiempo cuenta como una sola instancia. Este es un ejemplo de instancia de un solo registro que ejecuta cuatro fragmentos temporales:

Registro “Loggy 2020” de la empresa A: acepta certificados que vencen entre 2020-01-01 00:00:00 UTC y 2021-01-01 00:00:00 UTC Registro “Loggy 2021” de la empresa A: acepta certificados que vencen entre 2021-01-01 00:00:00 UTC y 2022-01-01 00:00:00 UTC Registro “Loggy 2022” de la empresa A: acepta certificados que vencen entre 2022-01-01 00:00:00 UTC y 2023-01-01 00:00:00 UTC Registro “Loggy 2023” de la empresa A: acepta certificados que vencen entre 2023-01-01 00:00:00 UTC y 2024-01-01 00:00:00 UTC

Estados de los registros en las plataformas de Apple

Los registros incluidos en las plataformas de Apple pueden tener los siguientes estados:

Pending (Pendiente)

El registro ha solicitado la inclusión en la lista de registros de confianza de Apple, pero todavía no se ha aceptado. Un registro pendiente no cuenta como “actualmente cualificado” o “anteriormente cualificado”.

Qualified (Cualificado)

El registro ha sido aceptado en el programa de Apple y está configurado para su distribución a las plataformas de Apple. Un registro cualificado cuenta como “actualmente cualificado”.

Usable (Utilizable)

Se puede confiar en que los SCT del registro cumplan la política CT de cliente de Apple. Un registro utilizable cuenta como “actualmente cualificado”. Los registros pasan de cualificados a utilizables tras un mínimo de 74 días en el estado cualificado.

Read-only (Solo lectura)

El registro es de confianza en las plataformas de Apple, pero es de solo lectura; es decir, ha dejado de aceptar envíos de certificados. Un registro de Solo Lectura cuenta como “actualmente cualificado”.

Retirado

El registro fue de confianza en las plataformas de Apple hasta alcanzarse la marca de tiempo de retirada especificada. Un registro retirado cuenta como “anteriormente cualificado” si el SCT en cuestión se emitió antes de la marca de tiempo de retirada. Un registro retirado no cuenta como “actualmente cualificado”.

Rejected (Rechazado)

El registro no es ni será de confianza en las plataformas de Apple. Un registro rechazado no cuenta como “actualmente cualificado” ni “anteriormente cualificado”.

Proceso de inclusión

Una vez que se acepta un registro en el programa de registros de Transparencia de certificados de Apple, se le somete a un periodo de 90 días de supervisión durante el cual se comprueba si cumple las políticas de Apple. Durante este tiempo, su estado es “pendiente”.

Apple puede rechazar cualquier registro a su discreción. En ese caso, el estado del registro pasa a ser “rechazado”. Si Apple no encuentra ningún problema durante el periodo de supervisión, el registro puede ser aceptado; en dicho caso, su estado pasa a ser “cualificado”.

Apple supervisa el registro de forma constante para comprobar que cumpla las políticas del programa de registros. El estado de un registro durante este tiempo puede ser “cualificado”, “utilizable”, “solo lectura” o “retirado”.

Apple puede retirar un registro en cualquier momento a su discreción o por incumplimiento de las políticas del programa de registros. En este caso el estado del registro pasa a ser “retirado”.

Solicitar la inclusión

Para solicitar la inclusión en el programa de registros CT de Apple, envía un correo electrónico a certificate-transparency-program@group.apple.com que incluya la siguiente información:

• La descripción del registro

• La política de aceptación de certificados, incluida una lista de certificados raíz aceptados por DN de sujeto y huella SHA256

• La política de rechazo de certificados para el registro

• El MMD del registro

• Información de contacto que incluya la dirección de correo electrónico y el número de teléfono de dos contactos de operaciones de operador y dos contactos de representante de operador

• Una dirección URL de servidor de registro CT de acceso público (HTTP)

• Una clave pública de registro CT (codificación DER de la estructura ASN.1 de SubjectPublicKeyInfo)