Az Apple Certificate Transparency naplóprogramja

A CIKK BEMUTATJA AZ APPLE CERTIFICATE TRANSPARENCY NAPLÓPROGRAMJÁT ÉS AZT, HOGY MIKÉNT LEHET FELVÉTELRE JELENTKEZNI.

Az Apple Certificate Transparency naplóprogramjának a célja egy Certificate Transparency- (CT-) naplókból álló készlet létrehozása, amelyeket elfogadnak az Apple platformjai, és így SCT-t (Signed Certificate Timestamp) biztosítanak a nyilvánosan megbízható TLS-szerverhitelesítési tanúsítványoknak.

A program irányelvei és követelményei

RFC 6962

Ahhoz, hogy bekerülhessen az Apple Certificate Transparency naplóprogramjába, az RFC 6962 szabványnak megfelelő naplónak a következő előírásoknak kell megfelelnie:

  • az RFC 6962 előírásai szerint kell implementálnia a CT-t.

  • nem lehet két vagy több egymással ellentmondó nézete a Merkle-fa tekintetében különböző időpontokban és/vagy különböző felek esetén.

  • teljesítenie kell az Apple 99%-os üzemidőre vonatkozó követelményét az Apple ellenőrzése szerint.

  • nem szabad 24 óránál nagyobb maximális egyesítési késleltetést (MMD) használnia.

  • tartalmaznia kell egy olyan tanúsítványt, amely bizonyítja, hogy létrehozott egy SCT-t, amely megfelel az MMD-követelménynek.

  • megbízhatónak kell jelölnie az Apple megbízhatósági tárában található összes gyökérszintű CA-tanúsítványt.

    • A naplók megbízhatnak az Apple megbízhatósági tárában nem szereplő gyökértanúsítványokban is.

Az RFC 6962 szabványnak megfelelő naplónak:

  • el kell utasítania a lejárt tanúsítványokat.

  • el kell utasítania a visszavont tanúsítványokat.

  • el kell utasítania azokat a levéltanúsítványokat, amelyek nem tartalmazzák az id-kp-serverAuth kiterjesztett kulcshasználatot (EKU).

    • A naplókezelőknek legalább 45 nappal korábban, írásban értesítést KELL küldeniük a certificate-transparency-program@group.apple.com e-mail-címre a naplójuk/naplóik által elfogadott levéltanúsítványok típusaival kapcsolatos esetleges változásokról.

STATIC-CT-API

Ahhoz, hogy bekerülhessen az Apple Certificate Transparency naplóprogramjába, a static-ct-api C2SP szabványnak megfelelő naplónak a következő előírásoknak kell megfelelnie:

  • a Static Certificate Transparency API, v1.0.0 előírásai szerint kell implementálnia a CT-t.

  • nem lehet két vagy több egymással ellentmondó nézete a Merkle-fa tekintetében különböző időpontokban és/vagy különböző felek esetén.

  • teljesítenie kell az Apple 99%-os üzemidőre vonatkozó követelményét az Apple ellenőrzése szerint.

  • nem szabad 1 percnél nagyobb maximális egyesítési késleltetést (MMD) használnia.

  • tartalmaznia kell egy olyan tanúsítványt, amely bizonyítja, hogy létrehozott egy SCT-t, amely megfelel az MMD-követelménynek.

  • megbízhatónak kell jelölnie az Apple megbízhatósági tárában található összes gyökérszintű CA-tanúsítványt.

    • A naplók megbízhatnak az Apple megbízhatósági tárában nem szereplő gyökértanúsítványokban is.

A static-ct-api C2SP szabványnak megfelelő naplónak a következőket kell tennie:

  • el kell utasítania a lejárt tanúsítványokat.

  • el kell utasítania a visszavont tanúsítványokat.

  • el kell utasítania azokat a levéltanúsítványokat, amelyek nem tartalmazzák az id-kp-serverAuth kiterjesztett kulcshasználatot (EKU).

    • A naplókezelőknek legalább 45 nappal korábban, írásban értesítést KELL küldeniük a certificate-transparency-program@group.apple.com e-mail-címre a naplójuk/naplóik által elfogadott levéltanúsítványok típusaival kapcsolatos esetleges változásokról.

A naplók állapota az Apple platformjain

Az Apple platformjain található naplók a következő állapotúak lehetnek:

Függőben

A napló kérelmezte az Apple megbízható naplólistájába való felvételt, de még nem kapott engedélyt. A függőben lévő naplók állapota nem „jelenleg minősített”, illetve nem „egykor minősített”.

Minősített

A napló helyet kapott az Apple programjában, és terjeszthető az Apple platformjain. A minősített naplók állapota „jelenleg minősített”.

Használható

A napló SCT-értékeiről feltételezhető, hogy megfelelnek az Apple CT-kliensirányelvének. A használható naplók állapota „jelenleg minősített”. A naplóknak legalább 74 napot kell eltölteniük „minősített” állapotban ahhoz, hogy „használható” állapotba kerülhessenek.

Írásvédett

A napló megbízhatónak számít az Apple platformjain, de írásvédett, azaz már nem fogad el tanúsítványleadásokat. Az írásvédett naplók állapota „jelenleg minősített”.

Elavult

A napló megbízhatónak számított az Apple platformjain az adott elévülési időbélyegzőig. Az elavult naplók állapota „egykor minősített”, ha az adott SCT-t az elévülési időbélyegző előtt adták ki. Az elavult naplók állapota nem „jelenleg minősített”.

Elutasított

A napló nem számít megbízhatónak, és nem is fog megbízhatónak számítani az Apple platformjain. Az elutasított naplók állapota nem „jelenleg minősített”, illetve nem „egykor minősített”.

Felvételi eljárás

Miután befogadtak egy naplót az Apple Certificate Transparency naplóprogramjába, megfigyelési időszak veszi kezdetét, amelynek célja az Apple szabályzatának való megfelelés ellenőrzése. Ez idő alatt a napló állapota „függőben”.

Az Apple saját belátása szerint elutasíthatja bármelyik naplót. Ilyen esetben a napló állapota „elutasított” lesz. Ha az Apple nem talál problémát a megfigyelési időszak alatt, akkor a napló elfogadható, és ekkor a napló „minősített” állapotúvá válik.

Az Apple folyamatosan ellenőrzi, hogy a napló megfelel-e a naplóprogram irányelveinek. A napló állapota ezen időszak alatt egyaránt lehet „minősített”, „használható”, „írásvédett” és „elavult”.

Bármikor elavult állapotba kerülhet egy napló az Apple döntésének eredményeképpen, illetve akkor, ha nem felel meg a naplóprogram irányelveinek. A napló ezután „elavult” állapotúvá válik.

Jelentkezés felvételre

Ha jelentkezni szeretne az Apple CT-naplóprogramjába történő felvételre, küldjön e-mailt a certificate-transparency-program@group.apple.com címre, és adja meg a következő információkat:

  • A napló leírását, és ennek részeként a következőket:

    • a tanúsítványok elfogadására vonatkozó szabályzatot, ha van ilyen;

    • a tanúsítványok naplózásra való elutasítását szabályozó szabályzatot, ha van ilyen;

    • az elfogadott gyökértanúsítványok listáját a Subject DN és az SHA256-ujjlenyomat alapján; és

    • azt a specifikációt (RFC 6962 vagy static-ct-api), amelynek a napló megfelel.

  • A nyilvánosan elérhető CT-naplószerver URL-címét (HTTP).

  • A napló nyilvános kulcsát (a SubjectPublicKeyInfo ASN.1 struktúra DER-kódolása).

  • A napló MMD-értékét.

  • A napló rendszeres időközönként megosztott tanúsítványlejárati tartományát, és ennek részeként a következőket:

    • az end_exclusive értéket az ISO 8601 dátum és idő szerint, UTC-formátumban; és

    • a start_inclusive értéket az ISO 8601 dátum és idő szerint, UTC-formátumban.

  • Elérhetőségek, ideértve a működtető két műveleti munkatársának és két képviselő munkatársának e-mail-címét.

A nem az Apple által gyártott termékekre, illetve az Apple ellenőrzésén kívül eső vagy általa nem tesztelt független webhelyekre vonatkozó információk nem tekinthetők javaslatoknak vagy ajánlásoknak. Az Apple nem vállal felelősséget a harmadik felek webhelyeinek és termékeinek kiválasztására, teljesítményére, illetve használatára vonatkozólag. Az Apple nem garantálja, hogy a harmadik felek webhelyei pontosak vagy megbízhatóak. Forduljon az adott félhez további információkért.

Közzététel dátuma: