Applen varmenteiden läpinäkyvyyden lokiohjelma

TÄSSÄ ARTIKKELISSA KERROTAAN APPLEN VARMENTEIDEN LÄPINÄKYVYYDEN LOKIOHJELMAN KÄYTÄNNÖISTÄ JA SIITÄ, KUINKA OHJELMAAN VOI HAKEA MUKAAN

Applen varmenteiden läpinäkyvyyden (CT) lokiohjelman tavoitteena on muodostaa valikoima varmenteiden läpinäkyvyyslokeja, joihin luotetaan Applen alustoilla ja joiden avulla tarjotaan allekirjoitusvarmenteen aikaleimoja (SCT) julkisesti luotettuja TLS-palvelintodentamisen varmenteita varten.

Ohjelman käytännöt ja vaatimukset

RFC 6962

Applen varmenteiden läpinäkyvyyden lokiohjelmaan pyrkivien RFC 6962 -standardin mukaisten lokien on täytettävä seuraavat vaatimukset:

• Lokin on käytettävä CT:tä RFC 6962:n mukaisesti.

• Loki ei saa esittää kahta tai useampaa poikkeavaa näkemystä Merkle Tree -rakenteesta eri aikoina ja/tai eri osapuolille.

• Lokin on täytettävä Applen 99 %:n käyttöaikavaatimukset, mitkä Apple itse mittaa.

• Loki ei saa määrittää enimmäisyhdistysviivettä (MMD), joka ylittää 24 tuntia.

• Lokin on sisällettävä varmenne, jolle se loi MMD:n puitteissa SCT:n.

• Lokin on luotettava kaikkiin Root CA -juurivarmenteisiin, jotka sisältyvät Applen Trust Storeen.

  • Lokit voivat luottaa juurivarmenteisiin, jotka eivät sisälly Apple Trust Storeen.

RFC 6962 -standardin mukainen loki voi:

• hylätä vanhentuneet varmenteet

• hylätä kumotut varmenteet

• hylätä lehtivarmenteet, joissa ei ole id-kp-serverAuth Extended Key Usage (EKU):a.

  • Lokioperaattoreiden on lähetettävä osoitteeseen certificate-transparency-program@group.apple.com vähintään 45 päivää ennakkoon kirjallinen ilmoitus kaikista muutoksista, jotka koskevat heidän lokiensa hyväksymiä lehtivarmenteita.

STATIC-CT-API

Applen varmenteiden läpinäkyvyyden lokiohjelmaan pyrkivien static-ct-api C2SP -standardin mukaisten lokien on täytettävä seuraavat vaatimukset:

• Lokin on käytettävä CT:tä Static Certificate Transparency API ‑version 1.0.0 mukaisesti.

• Loki ei saa esittää kahta tai useampaa poikkeavaa näkemystä Merkle Tree -rakenteesta eri aikoina ja/tai eri osapuolille.

• Lokin on täytettävä Applen 99 %:n käyttöaikavaatimukset, mitkä Apple itse mittaa.

• Loki ei saa määrittää enimmäisyhdistysviivettä (MMD), joka ylittää 1 minuutin.

• Lokin on sisällettävä varmenne, jolle se loi MMD:n puitteissa SCT:n.

• Lokin on luotettava kaikkiin Root CA -juurivarmenteisiin, jotka sisältyvät Applen Trust Storeen.

  • Lokit voivat luottaa juurivarmenteisiin, jotka eivät sisälly Apple Trust Storeen.

static-ct-api C2SP:n mukainen loki voi:

• hylätä vanhentuneet varmenteet

• hylätä kumotut varmenteet

• hylätä lehtivarmenteet, joissa ei ole id-kp-serverAuth Extended Key Usage (EKU):a.

  • Lokioperaattoreiden on lähetettävä osoitteeseen certificate-transparency-program@group.apple.com vähintään 45 päivää ennakkoon kirjallinen ilmoitus kaikista muutoksista, jotka koskevat heidän lokiensa hyväksymiä lehtivarmenteita.

Lokien tilat Applen alustoilla

Applen alustoihin sisältyvät lokit voivat olla jossakin seuraavista tiloista:

Odottaa

Loki on pyytänyt pääsyä Applen luotettujen lokien luetteloon, mutta sitä ei ole vielä hyväksytty. Odottava loki ei ole sama asia kuin Tällä hetkellä hyväksytty tai Kerran hyväksytty.

Hyväksytty

Loki on hyväksytty Applen ohjelmaan ja valmis jaettavaksi Applen alustoilla. Hyväksytty loki on sama kuin Tällä hetkellä hyväksytty.

Käytettävissä

Lokin SCT:t ovat luotettavasti Applen asiakas-CT:n käytäntöjen mukaisia. Käytettävissä oleva loki on sama kuin Tällä hetkellä hyväksytty. Lokit siirretään hyväksytyistä käytettävissä oleviin, kun ne ovat olleet vähintään 74 päivää hyväksytyssä tilassa.

Vain luku

Loki on luotettu Applen alustoilla, mutta se on vain luku -tilassa – loki on siis lopettanut varmennelähetysten hyväksymisen. Vain luku -muotoinen loki on sama kuin Tällä hetkellä hyväksytty.

Vanhentunut

Loki oli luotettu Applen alustoilla määrättyyn vanhentumisen aikaleimaan asti. Vanhentunut loki on sama kuin Kerran hyväksytty, jos kyseinen SCT oli määritetty ennen vanhentumisen aikaleimaa. Vanhentunut loki ei ole sama kuin Tällä hetkellä hyväksytty.

Hylätty

Loki ei ole nyt eikä tulevaisuudessa luotettu Applen alustoilla. Hylätty loki ei ole sama asia kuin Tällä hetkellä hyväksytty tai Kerran hyväksytty.

Hyväksymisprosessi

Kun loki on hyväksytty Applen varmenteiden läpinäkyvyyden lokiohjelmaan, valvonta-ajan aikana tarkistetaan, että loki on yhteensopiva Applen käytäntöjen kanssa. Tänä aikana lokin tilana on Odottaa.

Apple voi hylätä minkä tahansa lokin oman harkintansa mukaan. Jos näin käy, lokin tilaksi muutetaan Hylätty. Jos Apple ei havaitse ongelmia valvonta-aikana, loki voidaan hyväksyä, jolloin sen tilaksi muutetaan Hyväksytty.

Apple valvoo jatkuvasti lokia varmistaakseen, että se on yhteensopiva lokiohjelman käytäntöjen kanssa. Tänä aikana lokin tila voi olla Hyväksytty, Käytettävissä, Vain luku tai Vanhentunut.

Loki voidaan milloin tahansa siirtää vanhentuneeksi Applen harkinnan mukaan tai jos se ei ole yhteensopiva lokiohjelman käytäntöjen kanssa. Tällöin lokin tilaksi muutetaan Vanhentunut.

Ohjelmaan hakeminen

Voit hakea mukaan Applen varmenteiden läpinäkyvyyden lokiohjelmaan lähettämällä sähköpostia osoitteeseen certificate-transparency-program@group.apple.com ja liittämällä mukaan seuraavat tiedot:

• lokin kuvaus, mukaan lukien

  • varmenteiden hyväksymiskäytäntö, jos sellainen on

  • varmenteiden hylkäämiskäytäntö, jos sellainen on

  • luettelo hyväksytyistä juurivarmenteista Subject DN:n ja SHA256-sormenjäljen mukaan ja

  • määritys (RFC 6962 tai static-ct-api), jonka mukainen loki on

• julkisesti käytettävissä olevan CT-lokipalvelimen URL-osoite (HTTP)

• lokin julkinen avain (SubjectPublicKeyInfo ASN.1 -rakenteen DER-koodaus)

• lokin MMD.

• lokin ajallisesti jaettu varmenteen vanhentumisalue, joka sisältää seuraavat tiedot:

  • end_exclusive-arvo ISO 8601 -päivämäärä- ja aikamuodossa UTC-aikavyöhykkeellä ja

  • start_inclusive-arvo ISO 8601 -päivämäärä- ja aikamuodossa UTC-aikavyöhykkeellä

• yhteystiedot, mukaan lukien kahden operaattoritoimintojen yhteyshenkilön ja kahden operaattorin edustajan sähköpostiosoitteet.