Applen varmenteiden läpinäkyvyyden lokiohjelma

Tässä artikkelissa kerrotaan Applen varmenteiden läpinäkyvyyden lokiohjelman käytännöistä ja siitä, kuinka ohjelmaan voi hakea mukaan.

Applen varmenteiden läpinäkyvyyden (CT) lokiohjelman tavoitteena on muodostaa valikoima varmenteiden läpinäkyvyyslokeja, joihin luotetaan Applen alustoilla ja joiden avulla tarjotaan allekirjoitusvarmenteen aikaleimoja (SCT) julkisesti luotettuja TLS-palvelintodentamisen varmenteita varten.

Ohjelman käytännöt ja vaatimukset

Applen varmenteiden läpinäkyvyyden lokiohjelmaan pyrkivien lokien on täytettävä kaikki seuraavat vaatimukset:

• Lokitapahtumien on käytettävä CT:tä RFC6962:n mukaisesti.

• Loki ei saa esittää kahta tai useampaa poikkeavaa näkemystä Merkle Tree -rakenteesta eri aikoina ja/tai eri osapuolille.

• Lokien enimmäisyhdistysviive (MMD) on 24 tuntia.

• Lokissa täytyy olla varmenne, jolle se loi SCT:n MMD:n puitteissa.

• Lokitapahtuman pitää täyttää Applen vaatima ja mittaama 99-prosenttinen käytettävyysaika.

• Mikään lokikatkos ei saa kestää MMD:tä kauemmin.

• Lokin pitää hyväksyä Applen yhteensopivuusjuuren CA:n määrittämät varmenteet, jotta lokin yhteensopivuutta näiden käytäntöjen kanssa voidaan valvoa.

• Lokien pitää luottaa kaikkiin Root CA -juurivarmenteisiin, jotka sisältyvät Applen Trust Storeen. Lokit voivat luottaa muihin juurivarmenteisiin, jotka eivät välttämättä sisälly Applen Trust Storeen.

Operaattoria kohti sallitaan enintään kolme hyväksyttyä tai käytettävää lokitapahtumaa. Jos lokilla ei ole varmenteen vanhentumisen rajoituksia, tapaus esitetään URL:n ja lokin allekirjoitusavaimen muodossa. Jos lokilla on varmenteen vanhenemisen rajoituksia, joukko aikajaettuja lokeja lasketaan yhdeksi tapaukseksi. Esimerkki yhdestä lokitapauksesta, jossa on neljä aikajakoa:

Yhtiö A:n Loggy 2020 -loki: hyväksyy varmenteet, joiden vanhentumisaika on välillä 2020-01-01 00:00:00 UTC – 2021-01-01 00:00:00 UTC Yhtiö A:n Loggy 2021 -loki: hyväksyy varmenteet, joiden vanhentumisaika on välillä 2021-01-01 00:00:00 UTC – 2022-01-01 00:00:00 UTC Yhtiö A:n Loggy 2022 -loki: hyväksyy varmenteet, joiden vanhentumisaika on välillä 2022-01-01 00:00:00 UTC – 2023-01-01 00:00:00 UTC Yhtiö A:n Loggy 2023 -loki: hyväksyy varmenteet, joiden vanhentumisaika on välillä 2023-01-01 00:00:00 UTC – 2024-01-01 00:00:00 UTC

Lokien tilat Applen alustoilla

Applen alustoihin sisältyvät lokit voivat olla jossakin seuraavista tiloista:

Odottaa

Loki on pyytänyt pääsyä Applen luotettujen lokien luetteloon, mutta sitä ei ole vielä hyväksytty. Odottava loki ei ole sama asia kuin Tällä hetkellä hyväksytty tai Kerran hyväksytty.

Hyväksytty

Loki on hyväksytty Applen ohjelmaan ja valmis jaettavaksi Applen alustoilla. Hyväksytty loki on sama kuin Tällä hetkellä hyväksytty.

Käytettävissä

Lokin SCT:t ovat luotettavasti Applen asiakas-CT:n käytäntöjen mukaisia. Käytettävissä oleva loki on sama kuin Tällä hetkellä hyväksytty. Lokit siirretään hyväksytyistä käytettävissä oleviin, kun ne ovat olleet vähintään 74 päivää hyväksytyssä tilassa.

Vain luku

Loki on luotettu Applen alustoilla, mutta se on vain luku -tilassa – loki on siis lopettanut varmennelähetysten hyväksymisen. Vain luku -muotoinen loki on sama kuin Tällä hetkellä hyväksytty.

Vanhentunut

Loki oli luotettu Applen alustoilla määrättyyn vanhentumisen aikaleimaan asti. Vanhentunut loki on sama kuin Kerran hyväksytty, jos kyseinen SCT oli määritetty ennen vanhentumisen aikaleimaa. Vanhentunut loki ei ole sama kuin Tällä hetkellä hyväksytty.

Hylätty

Loki ei ole nyt eikä tulevaisuudessa luotettu Applen alustoilla. Hylätty loki ei ole sama asia kuin Tällä hetkellä hyväksytty tai Kerran hyväksytty.

Hyväksymisprosessi

Kun loki on hyväksytty Applen varmenteiden läpinäkyvyyden lokiohjelmaan, 90 päivän valvonta-ajan aikana tarkistetaan, että loki on yhteensopiva Applen käytäntöjen kanssa. Tänä aikana lokin tilana on Odottaa.

Apple voi hylätä minkä tahansa lokin oman harkintansa mukaan. Jos näin käy, lokin tilaksi muutetaan Hylätty. Jos Apple ei havaitse ongelmia valvonta-aikana, loki voidaan hyväksyä, jolloin sen tilaksi muutetaan Hyväksytty.

Apple valvoo jatkuvasti lokia varmistaakseen, että se on yhteensopiva lokiohjelman käytäntöjen kanssa. Tänä aikana lokin tila voi olla Hyväksytty, Käytettävissä, Vain luku tai Vanhentunut.

Loki voidaan milloin tahansa siirtää vanhentuneeksi Applen harkinnan mukaan tai jos se ei ole yhteensopiva lokiohjelman käytäntöjen kanssa. Tällöin lokin tilaksi muutetaan Vanhentunut.

Ohjelmaan hakeminen

Voit hakea mukaan Applen varmenteiden läpinäkyvyyden lokiohjelmaan lähettämällä sähköpostia osoitteeseen certificate-transparency-program@group.apple.com ja liittämällä mukaan seuraavat tiedot:

• lokin kuvaus

• varmenteiden hyväksymiskäytäntö, mukaan lukien luettelo hyväksytyistä juurivarmenteista ja niiden Subject DN- ja SHA256-sormenjälkitiedoista

• varmenteiden hylkäämiskäytäntö

• lokin MMD

• yhteystiedot, mukaan lukien kahden operaattoritoimintojen yhteyshenkilön ja kahden operaattorin edustajan sähköpostiosoitteet ja puhelinnumerot

• julkisesti käytettävissä olevan CT-lokipalvelimen URL-osoite (HTTP)

• CT-lokin julkinen avain (SubjectPublicKeyInfo ASN.1 -rakenteen DER-koodaus).