Az Apple Certificate Transparency naplóprogramja

A cikk bemutatja az Apple Certificate Transparency naplóprogramját és azt, hogy miként lehet felvételre jelentkezni.

Az Apple Certificate Transparency naplóprogramjának a célja egy Certificate Transparency- (CT-) naplókból álló készlet létrehozása, amelyeket elfogadnak az Apple platformjai, és így SCT-t (Signed Certificate Timestamp) biztosítanak a nyilvánosan megbízható TLS-szerverhitelesítési tanúsítványoknak.

A program irányelvei és követelményei

Az Apple Certificate Transparency naplóprogramjába való felvétel előfeltétele, hogy az adott napló megfeleljen az összes alábbi követelménynek:

• A naplópéldányoknak az RFC6962 számú dokumentum leírása szerint kell implementálniuk a CT-t.

• A naplónak nem lehet két vagy több egymással ellentmondó nézete a Merkle-fa tekintetében különböző időpontokban és/vagy különböző felek esetén.

• A Maximum Merge Delay (MMD) 24 óra a naplók esetén.

• A naplónak az MMD-n belül kell magában foglalnia egy olyan tanúsítványt, amelyhez SCT-t hozott létre.

• A naplópéldányoknak az Apple mérése szerint meg kell felelniük az Apple 99%-os rendelkezésreállási követelményének.

• A napló nem lehet működésen kívül az MMD-nél hosszabb ideig.

• A naplónak el kell fogadnia az Apple gyökértanúsítvány-kibocsátója által kiadott tanúsítványokat annak érdekében, hogy így felügyelhető legyen az, hogy a napló megfelel-e ezeknek az irányelveknek.

• A naplónak meg kell bíznia az Apple megbízható áruházában található összes gyökértanúsítványban. A napló megbízhat egyéb olyan gyökértanúsítványokban is, amelyek nem találhatók meg az Apple megbízható áruházában.

Egy működtető legfeljebb három minősített vagy használható naplópéldánnyal rendelkezhet. A tanúsítványlejárati korlátozások nélküli naplók esetén egy URL-cím és egy naplóaláíró kulcs számít egy példánynak. A tanúsítványlejárati korlátozásokkal rendelkező naplók esetén egy időintervallumos naplókból álló csoport számít egy példánynak. Példa négy időintervallumot futtató egynaplós példányra:

Az A nevű cég „Loggy 2020” nevű naplója: 2020. 01. 01., 00:00:00 (UTC) és 2021. 01. 01., 00:00:00 (UTC) között lejáró tanúsítványokat fogad el Az A nevű cég „Loggy 2021” nevű naplója: 2021. 01. 01., 00:00:00 (UTC) és 2022. 01. 01., 00:00:00 (UTC) között lejáró tanúsítványokat fogad el Az A nevű cég „Loggy 2022” nevű naplója: 2022. 01. 01., 00:00:00 (UTC) és 2023. 01. 01., 00:00:00 (UTC) között lejáró tanúsítványokat fogad el Az A nevű cég „Loggy 2023” nevű naplója: 2023. 01. 01., 00:00:00 (UTC) és 2024. 01. 01., 00:00:00 (UTC) között lejáró tanúsítványokat fogad el

A naplók állapota az Apple platformjain

Az Apple platformjain található naplók a következő állapotúak lehetnek:

Függőben

A napló kérelmezte az Apple megbízható naplólistájába való felvételt, de még nem kapott engedélyt. A függőben lévő naplók állapota nem „jelenleg minősített”, illetve nem „egykor minősített”.

Minősített

A napló helyet kapott az Apple programjában, és terjeszthető az Apple platformjain. A minősített naplók állapota „jelenleg minősített”.

Használható

A napló SCT-értékeiről feltételezhető, hogy megfelelnek az Apple CT-kliensirányelvének. A használható naplók állapota „jelenleg minősített”. A naplóknak legalább 74 napot kell eltölteniük „minősített” állapotban ahhoz, hogy „használható” állapotba kerülhessenek.

Csak olvasásra

A napló megbízhatónak számít az Apple platformjain, de írásvédett – vagyis már nem fogad el tanúsítványleadásokat. A csak olvasásra jelölt naplók állapota „jelenleg minősített”.

Elavult

A napló megbízhatónak számított az Apple platformjain az adott elévülési időbélyegzőig. Az elavult naplók állapota „egykor minősített”, ha az adott SCT-t az elévülési időbélyegző előtt adták ki. Az elavult naplók állapota nem „jelenleg minősített”.

Elutasított

A napló nem számít megbízhatónak, és nem is fog megbízhatónak számítani az Apple platformjain. Az elutasított naplók állapota nem „jelenleg minősített”, illetve nem „egykor minősített”.

Felvételi eljárás

Miután befogadtak egy naplót az Apple Certificate Transparency naplóprogramjába, egy 90 napos megfigyelési időszak veszi kezdetét, amelynek célja az Apple irányelvének való megfelelés ellenőrzése. Ez idő alatt a napló állapota „függőben”.

Az Apple saját belátása szerint elutasíthatja bármelyik naplót. Ilyen esetben a napló állapota „elutasított” lesz. Ha az Apple nem talál problémát a megfigyelési időszak alatt, akkor a napló elfogadható, és ekkor a napló „minősített” állapotúvá válik.

Az Apple folyamatosan ellenőrzi, hogy a napló megfelel-e a naplóprogram irányelveinek. A napló állapota ezen időszak alatt egyaránt lehet „minősített”, „használható”, „csak olvasásra” és „elavult”.

Bármikor elavult állapotba kerülhet egy napló az Apple döntésének eredményeképpen, illetve akkor, ha nem felel meg a naplóprogram irányelveinek. A napló ezután „elavult” állapotúvá válik.

Jelentkezés felvételre

Ha jelentkezni szeretne az Apple CT-naplóprogramjába történő felvételre, küldjön e-mailt a certificate-transparency-program@group.apple.com címre, és adja meg a következő információkat:

• A napló leírása

• A tanúsítványok elfogadását szabályozó irányelv, ideértve az elfogadott gyökértanúsítványok listáját (Subject DN és SHA256-ujjlenyomat)

• A tanúsítványok naplózásra való elutasítását szabályozó irányelv

• A napló MMD-értéke

• Elérhetőségek, ideértve a működtető két műveleti munkatársának és két képviselő munkatársának e-mail-címét és telefonszámát

• Egy nyilvánosan elérhető CT-naplószerver URL-címe (HTTP)

• Egy nyilvános CT-naplókulcs (a SubjectPublicKeyInfo ASN.1 struktúra DER-kódolása)