Programme de journalisation Certificate Transparency d’Apple

DÉCOUVREZ LES POLITIQUES DU PROGRAMME DE JOURNALISATION CERTIFICATE TRANSPARENCY D’APPLE AINSI QUE LES MODALITÉS DE DEMANDE D’INCLUSION.

L’objectif du programme de journalisation Certificate Transparency d’Apple est d’établir un ensemble de journaux CT (Certificate Transparency) qui sont approuvés sur les plateformes d’Apple, afin de délivrer des horodatages de certificat signé (SCT, Signed Certificate Timestamp) pour les certificats d’authentification de serveur TLS approuvés publiquement.

Politiques et conditions du programme

RFC 6962

Un journal conforme à la RFC 6962 doit remplir les conditions suivantes afin que son inclusion au programme de journalisation Certificate Transparency d’Apple soit étudiée :

  • Mettre en œuvre le programme CT, comme spécifié par la RFC 6962.

  • Ne pas présenter plusieurs structures conflictuelles de l’arbre de Merkle à des heures différentes et/ou au niveau de différentes parties.

  • Répondre à l’exigence de disponibilité de 99 % définie par Apple, sur la base des mesures effectuées par Apple.

  • Ne pas spécifier un délai de fusionnement maximal (MMD, Maximum Merge Delay) supérieur à 24 heures.

  • Incorporer un certificat pour lequel il a émis un SCT dans le délai MMD.

  • Approuver tous les certificats d’AC racine compris dans le magasin de certificats d’Apple.

    • Les journaux peuvent approuver d’autres racines non comprises dans le magasin de certificats d’Apple.

Un journal conforme à la RFC 6962 peut :

  • Refuser les certificats arrivés à expiration.

  • Refuser les certificats révoqués.

  • Refuser les certificats feuille qui ne contiennent pas l’utilisation de clé étendue (EKU, Extended Key Usage) id-kp-serverAuth.

    • Les gestionnaires de journaux doivent signaler par e-mail au moins 45 jours à l’avance toute modification apportée à un type de certificat feuille accepté par un ou plusieurs de leurs journaux, à l’adresse certificate-transparency-program@group.apple.com.

STATIC-CT-API

Un journal conforme à la spécification C2SP static-ct-api doit remplir les conditions suivantes afin que son inclusion au programme de journalisation Certificate Transparency d’Apple soit étudiée :

  • Mettre en œuvre le programme CT, comme spécifié par l’API Static Certificate Transparency, version 1.0.0.

  • Ne pas présenter plusieurs structures conflictuelles de l’arbre de Merkle à des heures différentes et/ou au niveau de différentes parties.

  • Répondre à l’exigence de disponibilité de 99 % définie par Apple, sur la base des mesures effectuées par Apple.

  • Ne pas spécifier un délai de fusionnement maximal (MMD, Maximum Merge Delay) supérieur à 1 minute.

  • Incorporer un certificat pour lequel il a émis un SCT dans le délai MMD.

  • Approuver tous les certificats d’AC racine compris dans le magasin de certificats d’Apple.

    • Les journaux peuvent approuver d’autres racines non comprises dans le magasin de certificats d’Apple.

Un journal conforme à la spécification C2SP static-ct-api peut :

  • Refuser les certificats arrivés à expiration.

  • Refuser les certificats révoqués.

  • Refuser les certificats feuille qui ne contiennent pas l’utilisation de clé étendue (EKU, Extended Key Usage) id-kp-serverAuth.

    • Les gestionnaires de journaux doivent signaler par e-mail au moins 45 jours à l’avance toute modification apportée à un type de certificat feuille accepté par un ou plusieurs de leurs journaux, à l’adresse certificate-transparency-program@group.apple.com.

États des journaux sur les plateformes d’Apple

Les journaux inclus sur les plateformes d’Apple peuvent présenter l’un des états suivants :

Pending (En attente)

Le journal a demandé à être inclus dans la liste des journaux de confiance d’Apple, mais cette demande n’a pas encore été acceptée. Un journal en attente n’est pas considéré comme « actuellement qualifié » ou comme « ayant déjà fait l’objet d’une qualification ».

Qualified (Qualifié)

Le journal a été accepté dans le programme d’Apple et est prêt à être distribué aux plateformes d’Apple. Un journal qualifié est considéré comme « actuellement qualifié ».

Usable (Utilisable)

Les SCT du journal sont considérés comme conformes à la politique CT client d’Apple. Un journal utilisable est considéré comme « actuellement qualifié ». Les journaux passent à l’état « utilisable » après être restés à l’état « qualifié » pendant 74 jours au minimum.

Readonly (Lecture seule)

Le journal est approuvé sur les plateformes d’Apple, mais en lecture seule : il n’accepte plus les soumissions de certificats. Un journal en lecture seule est considéré comme « actuellement qualifié ».

Retired (Retiré)

Le journal était approuvé sur les plateformes d’Apple jusqu’à la date et l’heure de retrait spécifiques. Un journal retiré est considéré comme « ayant déjà fait l’objet d’une qualification » si le SCT en question a été émis avant la date et l’heure de retrait. Un journal retiré n’est pas considéré comme « actuellement qualifié ».

Rejected (Refusé)

Le journal n’est pas et ne sera pas approuvé sur les plateformes d’Apple. Un journal refusé n’est pas considéré comme « actuellement qualifié » ou comme « ayant déjà fait l’objet d’une qualification ».

Processus d’inclusion

Lorsqu’un journal est accepté dans le programme de journalisation Certificate Transparency d’Apple, il fait l’objet d’une surveillance pendant une période spécifique afin de vérifier sa conformité à la politique d’Apple. Pendant cette période, l’état du journal est « en attente ».

Apple se réserve le droit de refuser un journal, à sa seule discrétion. Dans ce cas, le journal passe à l’état « refusé ». Si Apple ne détecte aucun problème pendant la période de surveillance, le journal peut être accepté, auquel cas il passe à l’état « qualifié ».

Apple surveille le journal de façon continue afin de vérifier sa conformité aux politiques du programme de journalisation. Au cours de cette période, l’état d’un journal peut être « qualifié », « utilisable », « lecture seule » ou « retiré ».

Un journal peut être retiré à tout moment, à l’entière discrétion d’Apple, ou en cas de non-conformité aux politiques du programme de journalisation. Le journal passe alors à l’état « retiré ».

Demande d’inclusion

Pour effectuer une demande d’inclusion au programme de journalisation CT d’Apple, envoyez un e-mail à l’adresse certificate-transparency-program@group.apple.com en indiquant les informations suivantes :

  • La description du journal, y compris :

    • la politique d’acceptation des certificats, le cas échéant ;

    • la politique de refus des certificats pour la journalisation, le cas échéant ;

    • une liste des certificats racines acceptés par nom unique et empreinte SHA256 ; et

    • la spécification (RFC 6962 ou static-ct-api) à laquelle le journal est conforme.

  • L’URL (HTTP) du serveur de journaux CT accessible publiquement.

  • La clé publique du journal (encodage DER de la structure ASN.1 SubjectPublicKeyInfo).

  • Le délai MMD du journal.

  • La plage d’expiration des certificats partitionnée temporellement, y compris :

    • la valeur end_exclusive au format de date et heure ISO 8601 en heure UTC ; et

    • la valeur start_inclusive au format de date et heure ISO 8601 en heure UTC.

  • Les coordonnées, notamment les adresses e-mail de deux contacts chargés des opérations d’opérateur et de deux représentants de l’opérateur.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: