Programa de registros de Transparencia de certificados de Apple

OBTÉN INFORMACIÓN SOBRE LAS POLÍTICAS DEL PROGRAMA DE REGISTROS DE TRANSPARENCIA DE CERTIFICADOS DE APPLE Y CÓMO SOLICITAR TU INCLUSIÓN.

El objetivo del Programa de Registros de Transparencia de Certificados de Apple es establecer una serie de registros de Certificate Transparency (Transparencia de certificados o CT) confiando en las plataformas de Apple, a fin de brindar Signed Certificate Timestamps (marcas de hora de certificados firmados o SCT) para certificados de autenticación de servidores TLS de confianza pública.

Requisitos y políticas del programa

RFC 6962

Para solicitar la inclusión al Programa de Registros de Transparencia de Certificados de Apple, un registro que cumpla con RFC 6962:

  • Debe implementar CT según se especifica en el artículo RFC 6962.

  • No debe presentar dos o más visiones del árbol de Merkle que entren en conflicto en distintos momentos o para distintas partes.

  • Debe cumplir con el requisito de disponibilidad de Apple del 99%, según la medición de Apple.

  • No debe especificar un Maximum Merge Delay (plazo máximo de fusión o MMD) que supere las 24 horas.

  • Debe tener un certificado mediante el que se demuestre que se creó una SCT dentro del MMD.

  • Debe confiar en todos los certificados CA raíz incluidos en las tiendas Trust Store de Apple.

    • Los registros pueden confiar en las raíces que no estén incluidas en las tiendas Trust Store de Apple.

Un registro que cumpla con RFC 6962 puede hacer lo siguiente:

  • Rechazar certificados vencidos.

  • Rechazar certificados revocados.

  • Rechazar certificados de hoja que no contengan el uso de clave extendida (EKU) de id-kp-serverAuth.

    • Los operadores de registros deben enviar un aviso por escrito con un mínimo de 45 días de anticipación a certificate-transparency-program@group.apple.com acerca de cualquier cambio en los tipos de certificados de hoja que acepten sus registros.

STATIC-CT-API

Para solicitar la inclusión al Programa de Registros de Transparencia de Certificados de Apple, un registro que cumpla con la especificación C2SP static-ct-api:

  • Debe implementar CT según se especifica en The Static Certificate Transparency API, v1.0.0 (API de transparencia de certificados estáticos, v1.0.0).

  • No debe presentar dos o más visiones del árbol de Merkle que entren en conflicto en distintos momentos o para distintas partes.

  • Debe cumplir con el requisito de disponibilidad de Apple del 99%, según la medición de Apple.

  • No debe especificar un Maximum Merge Delay (plazo máximo de fusión o MMD) que supere 1 minuto.

  • Debe tener un certificado mediante el que se demuestre que se creó una SCT dentro del MMD.

  • Debe confiar en todos los certificados CA raíz incluidos en las tiendas Trust Store de Apple.

    • Los registros pueden confiar en las raíces que no estén incluidas en las tiendas Trust Store de Apple.

Un registro que cumpla con la especificación C2SP static-ct-api puede hacer lo siguiente:

  • Rechazar certificados vencidos.

  • Rechazar certificados revocados.

  • Rechazar certificados de hoja que no contengan el uso de clave extendida (EKU) de id-kp-serverAuth.

    • Los operadores de registros deben enviar un aviso por escrito con un mínimo de 45 días de anticipación a certificate-transparency-program@group.apple.com acerca de cualquier cambio en los tipos de certificados de hoja que acepten sus registros.

Estados de registros en plataformas de Apple

Los registros que se incluyen en plataformas de Apple pueden encontrarse en uno de los siguientes estados:

Pendiente

El registro solicitó la inclusión en la lista de registros de confianza de Apple, pero aún no se aceptó la solicitud. No se considera que un registro pendiente está “actualmente calificado” o que “antes calificaba”.

Calificado

Se aceptó el registro en el programa de Apple y se estableció su distribución a las plataformas de Apple. Un registro calificado cuenta como “actualmente calificado”.

Utilizable

Se puede confiar en que las SCT del registro cumplen con la Política de CT de clientes de Apple. Un registro utilizable cuenta como “actualmente calificado”. Los registros pasan a ser utilizados una vez que cumplen, como mínimo, 74 días con el estado “Calificado”.

Solo lectura

El registro es de confianza en las plataformas de Apple, pero es de solo lectura, es decir que el registro ya no acepta el envío de solicitudes. Un registro de solo lectura cuenta como “actualmente calificado”.

Retirado

El registro fue de confianza en las plataformas de Apple hasta una marca de tiempo de retiro específica. Se considera que un registro retirado “antes calificaba” si la SCT en cuestión se emitió antes de la marca de tiempo de retiro. No se considera que un registro retirado está “actualmente calificado”.

Rechazado

El registro no es ni será de confianza en las plataformas de Apple. No se considera que un registro rechazado está “actualmente calificado” o que “antes calificaba”.

Proceso de inclusión

Una vez que se acepta un registro en el Programa de Registros de Transparencia de Certificados de Apple, durante un periodo de control, se comprueba que el registro cumpla con la política de Apple. Durante este tiempo, el registro permanece en estado “pendiente”.

Apple, a su criterio, puede rechazar cualquier registro. Si esto sucede, el registro pasa a tener estado de “rechazado”. Si Apple no encuentra ningún problema durante el período de control, puede aceptarse el registro. En ese momento, el registro pasa a tener el estado “Calificado”.

Apple controla el registro de forma continua para comprobar que se cumpla con las políticas del programa de registros. El estado de un registro durante este periodo puede ser “calificado”, “utilizable”, “solo lectura” o “retirado”.

Se puede retirar un registro en cualquier momento, a criterio de Apple o como resultado de la falta de cumplimiento con las políticas del programa de registros. En ese caso, el estado del registro pasa a ser “retirado”.

Solicitud de inclusión

Para solicitar la inclusión en el Programa de Registros de Transparencia de Certificados de Apple, envía un correo electrónico a certificate-transparency-program@group.apple.com e incluye la siguiente información:

  • La descripción del registro, que incluye lo siguiente:

    • La política de aceptación de certificados, si corresponde.

    • La política de rechazo de certificados para registro, si corresponde.

    • Una lista de certificados raíz aceptados por Subject DN y huella SHA256.

    • La especificación (RFC 6962 o static-ct-api) con la que cumple el registro.

  • La dirección URL de un servidor de registros CT con acceso público (HTTP).

  • El código público de un registro (la codificación DER de la estructura SubjectPublicKeyInfo ASN.1).

  • El MMD del registro.

  • El intervalo de caducidad de los certificados fragmentados temporalmente del registro, incluido lo siguiente:

    • El valor end_exclusive con fecha según ISO 8601 y hora en formato UTC.

    • El valor start_inclusive con fecha según ISO 8601 y hora en formato UTC.

  • La información de contacto, incluidas direcciones de correo electrónico de dos contactos de operaciones del operador y dos contactos de representantes del operador.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: