Apple の Certificate Transparency ログプログラム

Apple の Certificate Transparency ログプログラムのポリシーと、登録申請の方法についてご案内します。

Apple の Certificate Transparency ログプログラムの目標は、Apple のプラットフォームで信頼されている Certificate Transparency (CT) ログ (ログサーバ) 一式を確立し、公的に信頼されている TLS サーバ認証証明書に SCT (Signed Certificate Timestamps：署名済み証明書タイムスタンプ) を付与することです。

プログラムのポリシーと条件

Apple の Certificate Transparency ログプログラムに登録するには、ログ (ログサーバ) が以下の条件をすべて満たしている必要があります。

• ログのインスタンスが RFC6962 に規定されている通りに CT を実装している。

• ログが提示する複数のマークルツリー表示が、異なる時刻において、または異なる関係者に対し、競合していてはいけない。

• ログの MMD (Maximum Merge Delay) は 24 時間である。

• ログは、SCT を作成した証明書を MMD の時間内に登録する必要がある。

• ログのインスタンスが、Apple が定める稼働時間の要件 (99%) を満たす必要がある (Apple 独自の計測に従う)。

• サービス停止時間が、MMD よりも長く続いてはならない。

• ログは、Apple のコンプライアンスルート CA が発行した証明書を受け入れ、それらのポリシーにログが準拠しているか監視する必要がある。

• ログは、Apple のトラストストアに登録されているルート CA 証明書をすべて信頼する必要がある。Apple のトラストストアに登録されていない可能性がある、その他のルートを信頼することもできます。

運営者一社あたり「qualified」(認定済み) または「usable」(利用可能) なログインスタンスの数は最大 3 個まで認められています。証明書の有効期限を制限していないログの場合、1 つのインスタンスが URL またはログ署名鍵で表されます。証明書の有効期限を制限しているログの場合は、時間を区切った一連のログが 1 つのインスタンスとしてカウントされます。たとえば、以下は、4 つの時間枠に区切られた 1 つのログインスタンスです。

企業 A の「Loggy 2020」ログ：2020-01-01 00:00:00 UTC 〜 2021-01-01 00:00:00 UTC の間に期限が切れる証明書を受け入れる 企業 A の「Loggy 2021」ログ：2021-01-01 00:00:00 UTC 〜 2022-01-01 00:00:00 UTC の間に期限が切れる証明書を受け入れる 企業 A の「Loggy 2022」ログ：2022-01-01 00:00:00 UTC 〜 2023-01-01 00:00:00 UTC の間に期限が切れる証明書を受け入れる 企業 A の「Loggy 2023」ログ：2023-01-01 00:00:00 UTC 〜 2024-01-01 00:00:00 UTC の間に期限が切れる証明書を受け入れる

Apple のプラットフォームにおけるログの状態

Apple のプラットフォームに組み込まれたログは、以下のいずれかの状態になります。

Pending (保留中)

ログが Apple の信頼済みのログリストへの登録を申請済みで、まだ承認されていない状態です。保留中のログは、「currently qualified」(現在認定済み) または「once qualified」(過去に認定済み) とは見なされません。

Qualified (認定済み)

ログが Apple のプログラムで承認され、Apple のプラットフォームへの配備を予定されています。認定済みのログは、「現在認定済み」と見なされます。

Usable (利用可能)

このログが付与する SCT は、Apple のクライアント CT ポリシーに準拠していると信頼できます。利用可能なログは、「現在認定済み」と見なされます。ログは、認定済みの状態が 74 日以上続くと、「qualified」(認定済み) から「usable」(利用可能) になります。

Read-only (読み取り専用)

ログは Apple のプラットフォームで信頼されていますが、読み取り専用です (例：ログが証明書申請の受け入れをやめた)。読み取り専用のログは、「現在認定済み」と見なされます。

Retired (引退)

ログは、特定の引退時のタイムスタンプまで、Apple のプラットフォームで信頼されていました。引退したログは、SCT が引退時のタイムスタンプの前に発行されたものである場合、「過去に認定済み」と見なされます。引退したログは、「現在認定済み」とは見なされません。

Rejected (拒否)

ログは Apple のプラットフォームで信頼されておらず、その予定もありません。拒否されたログは、「現在認定済み」または「過去に認定済み」のどちらにもなりません。

登録プロセス

ログが Apple の Certificate Transparency ログプログラムで承認された後、90 日間の監視期間中に、そのログが Apple のポリシーに準拠しているかどうかが審査されます。この期間中、ログの状態は「pending」(保留中) になります。

Apple は、独自の裁量でログを拒否できます。その場合、そのログの状態は「rejected」(拒否) になります。この監視期間中に問題が見つからなかった場合、ログは承認され、この時点からその状態は「qualified」(認定済み) になります。

Apple は継続的にログを監視し、ログプログラムのポリシーに準拠しているかどうかを調べます。この間、ログの状態は「qualified」(認定済み)「usable」(利用可能)「read-only」(読み取り専用)「retired」(引退) のいずれかになります。

ログはいつでも Apple の裁量で、またはログプログラムのポリシーから逸脱した結果、引退する可能性があります。その場合、ログの状態は「retired」になります。

登録申請

Apple の CT ログプログラムへの登録申請は、以下の情報を添えて certificate-transparency-program@group.apple.com にメールでお申し込みください。

• ログの説明

• 証明書の受け入れに関するポリシー (サブジェクト DN と SHA256 指紋別の受け入れ済みルート証明書のリストも含む)

• 証明書の登録拒否に関するポリシー

• ログの MMD

• 連絡先情報 (運営者の事業窓口 2 つと代表連絡先 2 つのメールアドレスと電話番号を含む)

• 公にアクセス可能な CT ログサーバの URL (HTTP)

• CT ログの公開鍵 (SubjectPublicKeyInfo ASN.1 構造体の DER エンコーディング)