Appleov program zapisnika o transparentnosti certifikata

Saznajte više o pravilnicima Appleova programa zapisnika o transparentnosti certifikata i o prijavi za sudjelovanje.

Cilj Appleova programa zapisnika o transparentnosti certifikata jest izraditi skup zapisnika o transparentnosti certifikata (CT) koji će se smatrati pouzdanima na Appleovim platformama te sadržavati vremenske oznake potpisivanja certifikatom (SCT-ove) za javno pouzdane certifikate za autorizaciju TLS poslužitelja.

Pravilnici i preduvjeti programa

Da bi ih se razmotrilo za sudjelovanje u Appleovu programu zapisnika o transparentnosti certifikata, zapisnici moraju zadovoljiti sve sljedeće preduvjete:

• U instancama zapisnika CT mora biti implementiran u skladu s dokumentom RFC6962.

• U zapisniku ne smije biti naveden veći broj sukobljenih stavova o stablu raspršenja u različitim vremenima i/ili za različite strane.

• Maksimalna odgoda spajanja (MMD) zapisnika iznosi 24 sata.

• Zapisnik mora sadržavati certifikat za koji je stvorio SCT u roku određenom MMD-om.

• Instanca zapisnika mora zadovoljavati Appleov uvjet dostupnosti tijekom 99 % vremena, i to na način na koji to mjeri Apple.

• Prekid u dostupnosti zapisnika ne smije trajati dulje od MMD-a.

• Zapisnik mora prihvatiti certifikate koje Appleova ustanova za izdavanje korijenskih certifikata za usklađenost izdaje radi nadzora nad usklađenosti zapisnika s pravilnicima.

• Zapisnici moraju postaviti status pouzdanosti za sve korijenske certifikate ustanova za izdavanje certifikata koji se nalaze u Appleovu spremištu pouzdanih certifikata. Zapisnici smiju status pouzdanosti postaviti i za druge korijenske certifikate koji se ne nalaze u Appleovu spremištu pouzdanih certifikata.

Za svakog su operatora dopuštene najviše tri kvalificirane ili upotrebljive instance zapisnika. U slučaju zapisnika bez ograničenja isteka certifikata, instanca se prepoznaje po URL-u i ključu za potpisivanje zapisnika. U slučaju zapisnika s ograničenjima isteka certifikata skup vremenski segmentiranih zapisnika računa se kao jedna instanca. Ovo je primjer instance jednog zapisnika s četiri vremenska segmenta:

Zapisnik „Loggy 2020” tvrtke A: prihvaća certifikate koji istječu između 1. 1. 2020. 00:00:00 UTC i 1. 1. 2021. 00:00:00 UTC Zapisnik „Loggy 2021” tvrtke A: prihvaća certifikate koji istječu između 1. 1. 2021. 00:00:00 UTC i 1. 1. 2022. 00:00:00 UTC Zapisnik „Loggy 2022” tvrtke A: prihvaća certifikate koji istječu između 1. 1. 2022. 00:00:00 UTC i 1. 1. 2023. 00:00:00 UTC Zapisnik „Loggy 2023” tvrtke A: prihvaća certifikate koji istječu između 1. 1. 2023. 00:00:00 UTC i 1. 1. 2024. 00:00:00 UTC

Stanja zapisnika na Appleovim platformama

Zapisnici koji su dio Appleovih platformi mogu se nalaziti u jednom od sljedećih stanja:

Na čekanju

Zatraženo je dodavanje zapisnika na popis Appleovih pouzdanih zapisnika, no on još nije prihvaćen. Zapisnik na čekanju ne računa se kao da se nalazi u stanju „trenutno kvalificirano” ni „nekoć kvalificirano”.

Kvalificirano

Zapisnik je prihvaćen za sudjelovanje u Appleovu programu te je pripremljena distribucija na Appleove platforme. Kvalificirani se zapisnik računa kao da se nalazi u stanju „trenutno kvalificirano”.

Upotrebljivo

U SCT-ove zapisnika moguće se pouzdati radi zadovoljavanja pravilnika o CT-u Appleova klijenta. Upotrebljivi se zapisnik računa kao da se nalazi u stanju „trenutno kvalificirano”. Zapisnici prelaze sa stanja „kvalificirano” na „upotrebljivo” nakon što najmanje 74 dana provedu u stanju „kvalificirano”.

Samo za čitanje

Zapisnik se smatra pouzdanim na Appleovim platformama, no moguće ga je samo čitati, tj. zapisnik više ne prihvaća prijave certifikata. Zapisnik samo za čitanje računa se kao da se nalazi u stanju „trenutno kvalificirano”.

Isteklo

Zapisnik je bio pouzdan na Appleovim platformama sve do određene vremenske oznake isteka. Istekli se zapisnik računa kao da se nalazi u stanju „nekoć kvalificirano” ako je SCT izdan prije vremenske oznake isteka. Istekli se zapisnik ne računa kao da se nalazi u stanju „trenutno kvalificirano”.

Odbijeno

Zapisnik nije pouzdan i neće se smatrati pouzdanim na Appleovim platformama. Odbijeni se zapisnik ne računa kao da se nalazi u stanju „trenutno kvalificirano” ni „nekoć kvalificirano".

Postupak uključivanja

Nakon što je zapisnik prihvaćen za sudjelovanje u Appleovu programu zapisnika o transparentnosti certifikata tijekom 90-dnevnog razdoblja nadzora provjerava se je li zapisnik usklađen s Appleovim pravilnicima. Tijekom tog razdoblja zapisnik je u stanju „na čekanju”.

Apple može prema vlastitom nahođenju odlučiti želi li odbiti određeni zapisnik. Ako se to dogodi, zapisnik prelazi u stanje „odbijeno”. Ako Apple tijekom razdoblja nadzora ne otkrije nikakve probleme, zapisnik se može prihvatiti te nakon toga prelazi u stanje „kvalificirano”.

Apple neprestano nadzire zapisnik da bi provjerio je li u skladu s pravilnicima programa zapisnika. Stanje zapisnika tijekom tog razdoblja može biti „kvalificirano”, „upotrebljivo”, „samo za čitanje” ili „isteklo”.

Zapisnik može dobiti status „isteklo” u bilo kojem trenutku, bilo prema Appleovu vlastitom nahođenju ili zbog nepridržavanja pravilnika programa zapisnika. Zapisnik tada prelazi u stanje „isteklo”.

Prijava za sudjelovanje

Da biste se prijavili za sudjelovanje u Appleovu programu zapisnika o CT-u, pošaljite e-mail na adresu certificate-transparency-program@group.apple.com i navedite sljedeće:

• opis zapisnika

• pravilnik o prihvaćanju certifikata, uključujući popis prihvaćenih korijenskih certifikata prema DN-u objekta i identifikatoru SHA256

• pravilnik o odbijanju certifikata za izradu zapisnika

• MMD zapisnika

• informacije za kontakt, uključujući e-mail adrese i telefonske brojeve za dva operatorova kontakta za operacije i dva operatorova predstavnika

• javno dostupni URL poslužitelja zapisnika o CT-u (HTTP)

• javni ključ zapisnika o CT-u (DER kodiranje strukture SubjectPublicKeyInfo ASN.1)