Programa de registros de Transparencia de certificados de Apple

Obtén información sobre las políticas del programa de registros de Transparencia de certificados de Apple y cómo solicitar tu inclusión.

El objetivo del Programa de Registros de Transparencia de Certificados de Apple es establecer una serie de registros de Certificate Transparency (Transparencia de certificados o CT) confiando en las plataformas de Apple, a fin de brindar Signed Certificate Timestamps (marcas de hora de certificados firmados o SCT) para certificados de autenticación de servidores TLS de confianza pública.

Requisitos y políticas del programa

Para solicitar la inclusión al Programa de Registros de Transparencia de Certificados de Apple, los registros deben cumplir con todos los requisitos que se detallan a continuación:

• Todas las instancias de registro deben implementar CT según se especifica en el artículo RFC6962.

• Un registro no debe presentar múltiples visiones del árbol de Merkle que entren en conflicto en distintos momentos o para distintas partes.

• El Maximum Merge Delay (plazo máximo de fusión o MMD) de los registros debe ser de 24 horas.

• Un registro debe tener un certificado mediante el que se demuestre que se creó una SCT dentro del MMD.

• Una instancia de registro debe cumplir con el requisito de disponibilidad de Apple del 99 %, según la medición de Apple.

• Las interrupciones de los registros no pueden ser más largas que el MMD.

• Un registro debe aceptar certificados emitidos por la CA raíz de cumplimiento de Apple para controlar que los registros cumplan estas políticas.

• Los registros deben confiar en todos los certificados CA raíz incluidos en las Trust Store de Apple. Está permitido que los registros confíen en raíces adicionales que pudieran no estar incluidas en las Trust Store de Apple.

Se permite un máximo de tres instancias de registro calificado o utilizable por operador. En los registros que no tienen restricciones de vencimiento de certificados, una instancia se representa como una dirección URL y un código de firma de registros. En los registros con restricciones de vencimiento de certificados, un conjunto de registros con horarios fragmentados cuenta como una sola instancia. El siguiente es un ejemplo de una misma instancia de registro que se ejecuta en cuatro fragmentos horarios:

El registro de la Empresa A 'Loggy 2020': acepta certificados que vencen entre 2020-01-01 00:00:00 UTC y 2021-01-01 00:00:00 UTC El registro de la Empresa A 'Loggy 2021': acepta certificados que vencen entre 2021-01-01 00:00:00 UTC y 2022-01-01 00:00:00 UTC El registro de la Empresa A 'Loggy 2022': acepta certificados que vencen entre 2022-01-01 00:00:00 UTC y 2023-01-01 00:00:00 UTC El registro de la Empresa A 'Loggy 2023': acepta certificados que vencen entre 2023-01-01 00:00:00 UTC y 2024-01-01 00:00:00 UTC

Estados de registros en plataformas de Apple

Los registros que se incluyen en plataformas de Apple pueden encontrarse en uno de los siguientes estados:

Pendiente

El registro solicitó la inclusión en la lista de registros de confianza de Apple, pero aún no se aceptó la solicitud. No se considera que un registro pendiente está “actualmente calificado” o que “antes calificaba”.

Calificado

Se aceptó el registro en el programa de Apple y se estableció su distribución a las plataformas de Apple. Un registro calificado cuenta como “actualmente calificado”.

Utilizable

Se puede confiar en que las SCT del registro cumplen con la Política de CT de clientes de Apple. Un registro utilizable cuenta como “actualmente calificado”. Los registros pasan a ser utilizados una vez que cumplen, como mínimo, 74 días con el estado “Calificado”.

Solo lectura

El registro es de confianza en las plataformas de Apple, pero es de solo lectura, es decir que el registro ya no acepta el envío de solicitudes. Un registro de solo lectura cuenta como “actualmente calificado”.

Retirado

El registro fue de confianza en las plataformas de Apple hasta una marca de tiempo de retiro específica. Se considera que un registro retirado “antes calificaba” si la SCT en cuestión se emitió antes de la marca de tiempo de retiro. No se considera que un registro retirado está “actualmente calificado”.

Rechazado

El registro no es ni será de confianza en las plataformas de Apple. No se considera que un registro rechazado está “actualmente calificado” o que “antes calificaba”.

Proceso de inclusión

Una vez que se acepta un registro en el Programa de Registros de Transparencia de Certificados de Apple, durante un período de control de 90 días, se comprueba que el registro cumpla con la política de Apple. Durante este tiempo, el registro permanece en estado “pendiente”.

Apple, a su criterio, puede rechazar cualquier registro. Si esto sucede, el registro pasa a tener estado de “rechazado”. Si Apple no encuentra ningún problema durante el período de control, puede aceptarse el registro. En ese momento, el registro pasa a tener el estado “Calificado”.

Apple controla el registro de forma continua para comprobar que se cumpla con las políticas del programa de registros. El estado de un registro durante este período puede ser “calificado”, “utilizable”, “solo lectura” o “retirado”.

Se puede retirar un registro en cualquier momento, a criterio de Apple o como resultado de la falta de cumplimiento con las políticas del programa de registros. En ese caso, el estado del registro pasa a ser “retirado”.

Solicitud de inclusión

Para solicitar la inclusión en el Programa de Registros de Transparencia de Certificados de Apple, envía un correo electrónico a certificate-transparency-program@group.apple.com e incluye la siguiente información:

• La descripción del registro

• La política de aceptación de certificados, incluida una lista de certificados raíz aceptados por Subject DN y huella SHA256.

• La política de rechazo de certificados para registro

• El MMD del registro

• La información de contacto, incluidas direcciones de correo electrónico y números telefónicos de dos contactos de operaciones del operador y dos contactos de representantes del operador

• La dirección URL de un servidor de registros CT con acceso público (HTTP)

• El código público de un registro CT (la codificación DER de la estructura SubjectPublicKeyInfo ASN.1)