Appleov program zapisnika o transparentnosti certifikata

SAZNAJTE VIŠE O PRAVILNICIMA APPLEOVA PROGRAMA ZAPISNIKA O TRANSPARENTNOSTI CERTIFIKATA I O PRIJAVI ZA SUDJELOVANJE.

Cilj je Appleova programa zapisnika o transparentnosti certifikata jest izraditi skup zapisnika o transparentnosti certifikata (CT) koji će se smatrati pouzdanima na Appleovim platformama te sadržavati vremenske oznake potpisivanja certifikatom (SCT-ove) za javno pouzdane certifikate za autorizaciju TLS poslužitelja.

Pravilnici i preduvjeti programa

RFC 6962

Preduvjeti za uključivanje zapisnika koji je u skladu s dokumentom RFC 6962 u Appleov program zapisnika o transparentnosti certifikata:

Mora biti implementiran CT kao što je navedeno u dokumentu RFC 6962.
Ne smije biti naveden veći broj sukobljenih stavova o stablu raspršenja u različitim vremenima i/ili za različite strane.
Mora zadovoljavati Appleov uvjet dostupnosti tijekom 99 % vremena, i to na način na koji to mjeri Apple.
Ne smije biti navedena maksimalna odgoda spajanja (MMD) dulja od 24 sata.
Mora sadržavati certifikat za koji je stvorio SCT u roku određenom MMD-om.
Mora biti postavljen status pouzdanosti za sve korijenske certifikate ustanova za izdavanje certifikata koji se nalaze u Appleovu spremištu pouzdanih certifikata.
- Za zapisnike mora biti postavljen status pouzdanosti za korijenske certifikate koji se ne nalaze u Appleovu spremištu pouzdanih certifikata.

Zapisnik u skladu s dokumentom RFC 6962 može sljedeće:

odbiti istekle certifikate
odbiti opozvane certifikate
odbiti certifikate lista koji ne sadrže id-kp-serverAuth Extended Key Usage (EKU).
- Operateri zapisnika moraju barem 45 dana unaprijed poslati pisanu obavijest o svim promjenama vrsta certifikata lista koje njihovi zapisnici prihvaćaju na e-mail adresu certificate-transparency-program@group.apple.com.

STATIC-CT-API

Preduvjeti za uključivanje zapisnika koji je u skladu sa specifikacijom static-ct-api C2SP u Appleov program zapisnika o transparentnosti certifikata:

Mora biti implementiran CT kako je navedeno u API-ju Static Certificate Transparency API, v1.0.0.
Ne smije biti naveden veći broj sukobljenih stavova o stablu raspršenja u različitim vremenima i/ili za različite strane.
Mora zadovoljavati Appleov uvjet dostupnosti tijekom 99 % vremena, i to na način na koji to mjeri Apple.
Ne smije biti navedena maksimalna odgoda spajanja (MMD) dulja od 24 sata.
Mora sadržavati certifikat za koji je stvorio SCT u roku određenom MMD-om.
Mora biti postavljen status pouzdanosti za sve korijenske certifikate ustanova za izdavanje certifikata koji se nalaze u Appleovu spremištu pouzdanih certifikata.
- Za zapisnike mora biti postavljen status pouzdanosti za korijenske certifikate koji se ne nalaze u Appleovu spremištu pouzdanih certifikata.

Zapisnik koji je u skladu sa specifikacijom static-ct-api C2SP može sljedeće:

odbiti istekle certifikate
odbiti opozvane certifikate
odbiti certifikate lista koji ne sadrže id-kp-serverAuth Extended Key Usage (EKU).
- Operateri zapisnika moraju barem 45 dana unaprijed poslati pisanu obavijest o svim promjenama vrsta certifikata lista koje njihovi zapisnici prihvaćaju na e-mail adresu certificate-transparency-program@group.apple.com.

Stanja zapisnika na Appleovim platformama

Zapisnici koji su dio Appleovih platformi mogu se nalaziti u jednom od sljedećih stanja:

Na čekanju

Zatraženo je dodavanje zapisnika na popis Appleovih pouzdanih zapisnika, no on još nije prihvaćen. Zapisnik na čekanju ne računa se kao da se nalazi u stanju „trenutno kvalificirano” ni „nekoć kvalificirano”.

Kvalificirano

Zapisnik je prihvaćen za sudjelovanje u Appleovu programu te je pripremljena distribucija na Appleove platforme. Kvalificirani se zapisnik računa kao da se nalazi u stanju „trenutno kvalificirano”.

Upotrebljivo

U SCT-ove zapisnika moguće se pouzdati da će zadovoljiti pravilnik o CT-u Appleova klijenta. Upotrebljivi se zapisnik računa kao da se nalazi u stanju „trenutno kvalificirano”. Zapisnici prelaze sa stanja „kvalificirano” na „upotrebljivo” nakon što najmanje 74 dana provedu u stanju „kvalificirano”.

Samo za čitanje

Zapisnik se smatra pouzdanim na Appleovim platformama, no samo je za čitanje, tj. zapisnik više ne prihvaća prijave certifikata. Zapisnik samo za čitanje računa se kao da se nalazi u stanju „trenutno kvalificirano”.

Isteklo

Zapisnik je bio pouzdan na Appleovim platformama sve do određene vremenske oznake isteka. Istekli se zapisnik računa kao da se nalazi u stanju „nekoć kvalificirano” ako je SCT izdan prije vremenske oznake isteka. Istekli se zapisnik ne računa kao da se nalazi u stanju „trenutno kvalificirano”.

Odbijeno

Zapisnik nije pouzdan i neće se smatrati pouzdanim na Appleovim platformama. Odbijeni se zapisnik ne računa kao da se nalazi u stanju „trenutno kvalificirano” ni „nekoć kvalificirano".

Postupak uključivanja

Nakon što je zapisnik prihvaćen za sudjelovanje u Appleovu programu zapisnika o transparentnosti certifikata tijekom razdoblja nadzora provjerava se je li zapisnik usklađen s Appleovim pravilnicima. Tijekom tog razdoblja zapisnik je u stanju „na čekanju”.

Apple može prema vlastitom nahođenju odlučiti želi li odbiti određeni zapisnik. Ako se to dogodi, zapisnik prelazi u stanje „odbijeno”. Ako Apple tijekom razdoblja nadzora ne otkrije nikakve probleme, zapisnik se može prihvatiti te nakon toga prelazi u stanje „kvalificirano”.

Apple neprestano nadzire zapisnik da bi provjerio je li u skladu s pravilnicima programa zapisnika. Stanje zapisnika tijekom tog razdoblja može biti „kvalificirano”, „upotrebljivo”, „samo za čitanje” ili „isteklo”.

Zapisnik može dobiti status „isteklo” u bilo kojem trenutku, bilo prema Appleovu vlastitom nahođenju ili zbog nepridržavanja pravilnika programa zapisnika. Zapisnik tada prelazi u stanje „isteklo”.

Prijava za sudjelovanje

Da biste se prijavili za sudjelovanje u Appleovu programu zapisnika o CT-u, pošaljite e-mail na adresu certificate-transparency-program@group.apple.com i navedite sljedeće:

Opis zapisnika, što uključuje:
- pravilnik o prihvaćanju certifikata, ako postoji
- pravilnik o odbijanju certifikata za izradu zapisnika, ako postoji
- popis prihvaćenih korijenskih certifikata prema DN-u objekta i identifikatoru SHA256 i
- specifikaciju (RFC 6962 ili static-ct-api) s kojom je zapisnik usklađen.
Javno dostupni URL poslužitelja zapisnika o CT-u (HTTP).
Javni ključ zapisnika (DER kodiranje strukture SubjectPublicKeyInfo ASN.1).
MMD zapisnika.
Raspon isteka privremeno dijeljenog certifikata zapisnika, uključujući:
- vrijednost end_exclusive u ISO 8601 datumu i vremenu u UTC formatu i
- vrijednost start_inclusive u ISO 8601 datumu i vremenu u UTC formatu.
Podaci za kontakt, uključujući e-mail adrese za dva operaterova kontakta za operacije i dva operaterova predstavnika.

Informacije koje Apple daje o proizvodima koje nije on proizveo ili neovisnim web-stranicama nad kojima nema nadzor niti ih je testirao ne podrazumijevaju da te proizvode Apple preporučuje niti da za njih daje podršku. Apple nije odgovoran za odabir, performanse ni korištenje web-stranica ili proizvoda drugih proizvođača. Apple ne iznosi mišljenja o točnosti ni pouzdanosti web-stranica drugih proizvođača. Dodatne informacije zatražite od dobavljača proizvoda.

Datum objave: 01. srpnja 2025.