Program log Transparansi Sertifikat Apple

PELAJARI KEBIJAKAN PROGRAM LOG TRANSPARANSI SERTIFIKAT APPLE DAN CARA MENDAFTAR UNTUK PENYERTAAN.

Tujuan program log Transparansi Sertifikat Apple adalah untuk menetapkan set log Transparansi Sertifikat (Certificate Transparency/CT) yang dipercaya di platform Apple guna memberikan Tanda Waktu Sertifikat Bertanda Tangan (Signed Certificate Timestamps/SCT) untuk sertifikat autentikasi server TLS yang dipercaya secara publik.

Kebijakan dan persyaratan program

RFC 6962

Agar dapat dipertimbangkan untuk disertakan dalam program log Transparansi Sertifikat Apple, log yang sesuai dengan RFC 6962 harus:

  • menerapkan CT seperti yang ditentukan oleh RFC 6962.

  • tidak berisi dua tampilan konflik Pohon Merkle atau lebih pada waktu berbeda dan/atau untuk pihak berbeda.

  • memenuhi persyaratan waktu aktif Apple sebesar 99%, seperti yang diukur oleh Apple.

  • tidak menentukan Penundaan Penggabungan Maksimum (MMD) yang lebih dari 24 jam.

  • menyertakan sertifikat yang menghasilkan SCT dalam MMD.

  • memercayai semua sertifikat CA root yang terdapat di stok sertifikat tepercaya Apple.

    • Log dapat memercayai root yang tidak terdapat di stok sertifikat tepercaya Apple.

Log yang sesuai dengan RFC 6962 dapat:

  • menolak sertifikat yang sudah habis masa berlakunya.

  • menolak sertifikat yang dicabut.

  • menolak sertifikat leaf yang tidak berisi Extended Key Usage (EKU) id-kp-serverAuth.

STATIC-CT-API

Agar dapat dipertimbangkan untuk disertakan dalam program log Transparansi Sertifikat Apple, log yang sesuai dengan spesifikasi static-ct-api C2SP harus:

  • menerapkan CT seperti yang ditentukan oleh API Transparansi Sertifikat Statis, v1.0.0.

  • tidak berisi dua tampilan konflik Pohon Merkle atau lebih pada waktu berbeda dan/atau untuk pihak berbeda.

  • memenuhi persyaratan waktu aktif Apple sebesar 99%, seperti yang diukur oleh Apple.

  • tidak menentukan Penundaan Penggabungan Maksimum (MMD) yang lebih dari 1 menit.

  • menyertakan sertifikat yang menghasilkan SCT dalam MMD.

  • memercayai semua sertifikat CA root yang terdapat di stok sertifikat tepercaya Apple.

    • Log dapat memercayai root yang tidak terdapat di stok sertifikat tepercaya Apple.

Log yang sesuai dengan spesifikasi static-ct-api C2SP dapat:

  • menolak sertifikat yang sudah habis masa berlakunya.

  • menolak sertifikat yang dicabut.

  • menolak sertifikat leaf yang tidak berisi Extended Key Usage (EKU) id-kp-serverAuth.

Status log di platform Apple

Log yang disertakan di platform Apple dapat berada dalam salah satu status berikut:

Tertunda

Log berisi penyertaan yang diminta di daftar log tepercaya Apple, namun belum diterima. Log tertunda tidak dianggap sebagai "saat ini memenuhi syarat" atau "setelah memenuhi syarat".

Memenuhi syarat

Log telah diterima di program Apple dan diatur untuk didistribusikan ke platform Apple. Log memenuhi syarat dianggap sebagai "saat ini memenuhi syarat".

Dapat digunakan

SCT dari log dapat diandalkan untuk memenuhi kebijakan CT klien Apple. Log dapat digunakan akan dianggap sebagai "saat ini memenuhi syarat". Log beralih dari memenuhi syarat menjadi dapat digunakan setelah minimum 74 hari berada dalam status memenuhi syarat.

Hanya-baca

Log dipercaya di platform Apple, tetapi statusnya hanya-baca, yang artinya log berhenti menerima pengajuan sertifikat. Log hanya-baca dianggap sebagai “saat ini memenuhi syarat”.

Tidak digunakan

Log dipercaya di platform Apple hingga waktu yang tercantum pada label waktu penghentian penggunaan tertentu. Log yang tidak digunakan lagi dianggap sebagai "pernah memenuhi syarat" jika SCT terkait dikeluarkan sebelum waktu yang tercantum pada label waktu penghentian penggunaan tertentu. Log penghentian penggunaan tidak dianggap sebagai "saat ini terkualifikasi".

Ditolak

Log tidak dan tidak akan dipercaya di platform Apple. Log ditolak tidak dianggap sebagai "saat ini memenuhi syarat" atau "pernah memenuhi syarat".

Proses penyertaan

Setelah log diterima di program log Transparansi Sertifikat Apple, pemeriksaan log terkait kepatuhan terhadap kebijakan Apple dilakukan dalam jangka waktu pemantauan. Selama waktu ini, status log adalah "dalam proses".

Apple dapat menolak setiap log berdasarkan kebijakannya. Jika ini terjadi, status log berubah menjadi "ditolak". Jika Apple tidak menemukan masalah selama jangka waktu pemantauan, log dapat diterima, pada saat tersebut status log berubah menjadi "memenuhi syarat".

Apple memantau log terkait kepatuhan terhadap kebijakan program log secara berkelanjutan. Log selama waktu ini dapat memiliki status “terkualifikasi”, “dapat digunakan”, “hanya-baca”, atau “tidak digunakan”.

Log sewaktu-waktu tidak dapat digunakan lagi, berdasarkan kebijakan Apple atau sebagai akibat dari kegagalan untuk mematuhi kebijakan program log. Status log kemudian berubah menjadi "dihentikan".

Mendaftar untuk penyertaan

Untuk mendaftar penyertaan di program log CT Apple, kirim email ke certificate-transparency-program@group.apple.com dan sertakan item berikut:

  • Deskripsi log, yang meliputi:

    • kebijakan untuk menerima sertifikat, jika ada;

    • kebijakan untuk menolak sertifikat pembuatan log, jika ada;

    • daftar sertifikat root yang diterima oleh DN Subjek dan sidik jari SHA256; dan

    • spesifikasi (RFC 6962 atau static-ct-api) yang sesuai dengan log.

  • URL (HTTP) server log CT yang dapat diakses secara publik.

  • Kunci publik log (pengodean DER untuk struktur SubjectPublicKeyInfo ASN.1).

  • MMD log.

  • Masa berlaku sertifikat yang dibagikan untuk sementara termasuk:

    • nilai end_exclusive dalam Tanggal dan Waktu ISO 8601 dengan format UTC; dan

    • nilai start_inclusive dalam Tanggal dan Waktu ISO 8601 dengan format UTC.

  • Informasi kontak, termasuk alamat email untuk dua kontak operasional operator dan dua kontak perwakilan operator.

Informasi mengenai produk yang tidak diproduksi Apple, atau situs web independen yang tidak dikendalikan atau diuji Apple, diberikan tanpa rekomendasi atau persetujuan. Apple tidak bertanggung jawab atas pemilihan, kinerja, atau penggunaan situs web atau produk pihak ketiga. Apple tidak memberikan pernyataan terkait keakuratan atau keandalan situs web pihak ketiga. Hubungi vendor untuk informasi tambahan.

Tanggal Dipublikasikan: