התוכנית של יומן שקיפות האישור של Apple

למדו על מדיניות התוכנית של יומן שקיפות האישור של Apple וקבלו הנחיות להגשת בקשה להיכלל בה.

מטרת התוכנית של יומן שקיפות האישור של Apple היא ליצור קבוצה של יומני שקיפות אישור (CT) שנחשבים למהימנים בפלטפורמות של Apple כדי לספק חותמות זמן של אישור חתום (SCT) עבור אישורי אימות שרתים מסוג TLS שנחשבים למהימנים באופן ציבורי.

כללי המדיניות של התוכנית והדרישות להיכלל בה

RFC 6962

כדי שניתן יהיה לבדוק זכאות להיכלל בתוכנית של יומן שקיפות האישור של Apple, יומן העומד בתקן RFC 6962 חייב:

  • ליישם את מדיניות שקיפות האישור (CT) כפי שמפורט על ידי RFC 6962.

  • לא לכלול שתי תצוגות מתנגשות (או יותר) של עץ מרקל בזמנים שונים ו/או בפני גורמים שונים.

  • לעמוד בדרישות של Apple לזמן פעולה בשיעור של 99%, כפי שנמדד על ידי Apple.

  • לא לציין 'עיכוב מיזוג מקסימלי' (MMD) העולה על 24 שעות.

  • לכלול ב-MMD אישור שעבורו הוא יצר SCT.

  • לתת אמון בכל אישורי הג"מ הבסיסיים הכלולים ב-Trust Store של Apple.

    • יומנים עשויים לתת אמון באישורי בסיס שאינם כלולים ב-Trust Store של Apple.

יומן שתואם ל-RFC 6962 עשוי:

  • לדחות אישורים פגי תוקף.

  • לדחות אישורים שבוטלו.

  • לדחות אישורי עלה שאינם מכילים את ה-EKU (שימוש מורחב במפתח) מסוג id-kp-serverAuth.

    • מפעילי יומן חייבים לשלוח הודעה בכתב, לפחות 45 ימים מראש, לכתובת certificate-transparency-program@group.apple.com על כל שינוי בסוגים של אישורי העלה שהיומנים שלהם מקבלים.

STATIC-CT-API

כדי שניתן יהיה לבדוק זכאות להיכלל בתוכנית של יומן שקיפות האישור של Apple, יומן העומד במפרט static-ct-api של C2SP חייב:

  • ליישם את מדיניות שקיפות האישור (CT) כפי שמפורט על ידי The Static Certificate Transparency API, v1.0.0.

  • לא לכלול שתי תצוגות מתנגשות (או יותר) של עץ מרקל בזמנים שונים ו/או בפני גורמים שונים.

  • לעמוד בדרישות של Apple לזמן פעולה בשיעור של 99%, כפי שנמדד על ידי Apple.

  • לא לציין 'עיכוב מיזוג מקסימלי' (MMD) העולה על דקה.

  • לכלול ב-MMD אישור שעבורו הוא יצר SCT.

  • לתת אמון בכל אישורי הג"מ הבסיסיים הכלולים ב-Trust Store של Apple.

    • יומנים עשויים לתת אמון באישורי בסיס שאינם כלולים ב-Trust Store של Apple.

יומן שתואם למפרט static-ct-api של C2SP עשוי:

  • לדחות אישורים פגי תוקף.

  • לדחות אישורים שבוטלו.

  • לדחות אישורי עלה שאינם מכילים את ה-EKU (שימוש מורחב במפתח) מסוג id-kp-serverAuth.

    • מפעילי יומן חייבים לשלוח הודעה בכתב, לפחות 45 ימים מראש, לכתובת certificate-transparency-program@group.apple.com על כל שינוי בסוגים של אישורי העלה שהיומנים שלהם מקבלים.

מצבי יומנים בפלטפורמות של Apple

יומנים הכלולים בפלטפורמות של Apple יכולים להיות באחד מהמצבים הבאים:

ממתין

הוצגה בקשה על ידי היומן להיכלל ברשימת היומנים המהימנים של Apple, אך הוא עדיין לא התקבל. יומן במצב המתנה אינו נספר כ'כשיר כעת' או כ'היה כשיר בעבר'.

כשיר

היומן התקבל לתוכנית של Apple והוגדר להפצה לפלטפורמות של Apple. יומן כשיר נספר כ'כשיר כעת'.

שמיש

ניתן להסתמך על חותמות זמן של אישור חתום מהיומן כדי לעמוד בדרישות של מדיניות שקיפות האישור ללקוחות של Apple. יומן שמיש נספר כ'כשיר כעת'. יומנים עוברים ממצב 'כשיר' למצב 'שמיש' לאחר לפחות 74 ימים במצב הכשירות.

לקריאה בלבד

היומן נחשב למהימן בפלטפורמות של Apple, אך הוא מוגבל לקריאה בלבד – כלומר, היומן הפסיק לקבל הגשות של אישורים. יומן לקריאה בלבד נספר כ'כשיר כעת'.

הוצא משימוש

היומן היה מהימן בפלטפורמות של Apple עד לחותמת הזמן הספציפית של הוצאתו משימוש. יומן שהוצא משימוש אינו נספר כ'היה כשיר בעבר' אם חותמת ה-SCT הרלוונטית הונפקה לפני חותמת הזמן של ההוצאה משימוש. יומן שהוצא משימוש אינו נספר כ'כשיר כעת'.

נדחה

היומן אינו מהימן – ולא יהיה מהימן – בפלטפורמות של Apple. יומן שנדחה אינו נספר כ'כשיר כעת' או כ'היה כשיר בעבר'.

תהליך ההוספה לתוכנית

לאחר שיומן מתקבל לתוכנית של יומן שקיפות האישור של Apple, ישנה תקופת ניטור שבה היומן נבדק כדי לוודא שהוא עומד במדיניות של Apple. במהלך פרק זמן זה, מצב היומן הוא 'ממתין'.

Apple רשאית לדחות כל יומן לפי שיקול דעתה. במקרה כזה, מצב היומן הופך ל'נדחה'. אם Apple לא מוצאת בעיות בתקופת הניטור, ניתן לקבל את היומן והמצב שלו הופך ל'כשיר'.

Apple מנטרת את היומן באופן שוטף בכפוף למדיניות של תוכנית היומן. בפרק זמן זה, מצב היומן יכול להיות 'כשיר', 'שמיש', 'לקריאה בלבד' או 'הוצא משימוש'.

ניתן להוציא יומן משימוש בכל עת, לפי שיקול דעתה של Apple או כתוצאה מאי עמידה בכללי המדיניות של תוכנית היומן. במקרה כזה, מצב היומן הופך ל'הוצא משימוש'.

הגשת בקשה להיכלל

כדי להגיש בקשה להיכלל בתוכנית של יומן שקיפות האישור של Apple, יש לשלוח דוא"ל לכתובת certificate-transparency-program@group.apple.com ולכלול את המידע הבא:

  • התיאור של היומן, כולל:

    • המדיניות לקבלת אישורים, אם קיימת;

    • המדיניות לדחיית רישום של אישורים ביומן, אם קיימת;

    • רשימה של אישורי בסיס מקובלים לפי שם ייחודי של מבקש/בעלי האישור (Subject DN) וטביעת אצבע בפרוטוקול SHA256; וכן

    • המפרט (RFC 6962 או static-ct-api) שאליו היומן תואם.

  • כתובת ה-URL (בפרוטוקול HTTP) של שרת יומן שקיפות האישור הנגיש לציבור.

  • המפתח הציבורי של היומן (קידוד DER של מבנה ה-SubjectPublicKeyInfo ASN.1).

  • ה-MMD של היומן.

  • טווח פקיעת התוקף של אישור היומן בפיצולי זמן, כולל:

    • הערך end_exclusive במבנה תאריך ושעה בזמן אוניברסלי מתואם לפי תקן ISO 8601; וכן

    • הערך start_inclusive במבנה תאריך ושעה בזמן אוניברסלי מתואם לפי תקן ISO 8601.

  • פרטי יצירת קשר, כולל כתובות דוא"ל של שני אנשי קשר ממחלקת תפעול של המפעיל ושני אנשי קשר שהם נציגים של המפעיל.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

פורסם בתאריך: