Het Certificate Transparency-logprogramma van Apple

Informatie over het beleid van het Certificate Transparency-logprogramma van Apple en hoe u zich aanmeldt voor deelname.

Het Certificate Transparency-logprogramma van Apple heeft tot doel om een set vertrouwde CT-logbestanden (Certificate Transparency) voor de platformen van Apple vast te stellen waarmee SCT-tijdstempels voor ondertekende certificaten (Signed Certificate Timestamps) worden gegenereerd voor vertrouwde openbare TLS-serveridentiteitscontrolecertificaten.

Beleid en vereisten van het programma

Om in aanmerking te komen voor deelname aan het Certificate Transparency-logprogramma van Apple, moeten logbestanden aan de volgende vereisten voldoen:

• De implementatie van CT in de logbestanden moet voldoen aan RFC6962.

• Een logbestand mag niet twee of meer conflicterende weergaven bevatten van de Merkle-hiërarchie op verschillende tijdstippen en/of voor verschillende partijen.

• De MMD (Maximum Merge Delay; maximale samenvoegvertraging) voor logbestanden is 24 uur.

• Een logbestand moet een certificaat bevatten waarvoor door het logbestand een SCT is aangemaakt binnen de MMD.

• Apple vereist dat exemplaren van logbestanden 99% van de tijd beschikbaar zijn (zoals gemeten door Apple).

• Uitval van logbestanden mag niet langer duren dan de MMD.

• Een logbestand moet certificaten accepteren die zijn verstrekt door de nalevingsroot-CA van Apple om te controleren of het logbestand aan de beleidsvoorwaarden voldoet.

• Alle root-CA-certificaten die deel uitmaken van de vertrouwde opslag van Apple moeten door de logbestanden worden vertrouwd. Logbestanden mogen aanvullende roots vertrouwen die geen deel uitmaken van de vertrouwde opslag van Apple.

Per beheerder zijn maximaal drie goedgekeurde of bruikbare exemplaren van logbestanden toegestaan. Exemplaren van logbestanden zonder beperkingen voor het verval van certificaten worden weergegeven als een URL met een ondertekeningssleutel. Bij logbestanden met beperkingen voor het verval van certificaten wordt een set logbestanden met tijdshards als één exemplaar beschouwd. Hier volgt een voorbeeld van één exemplaar van een logbestand waarbinnen vier tijdshards worden uitgevoerd:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

De status van logbestanden op de platformen van Apple

Logbestanden op de platformen van Apple kunnen de volgende status hebben:

In behandeling

Er is een aanvraag ingediend om het logbestand toe te voegen aan de lijst van Apple met vertrouwde logbestanden, maar de aanvraag is nog niet geaccepteerd. Een logbestand dat in behandeling is, wordt niet beschouwd als 'momenteel goedgekeurd' of 'ooit goedgekeurd'.

Goedgekeurd

Het logbestand is geaccepteerd voor het programma van Apple en is klaar voor distributie naar de platformen van Apple. Een goedgekeurd logbestand wordt beschouwd als 'momenteel goedgekeurd'.

Bruikbaar

Er kan op worden vertrouwd dat de SCT's uit het logbestand voldoen aan het CT-clientbeleid van Apple. Een bruikbaar logbestand wordt beschouwd als 'momenteel goedgekeurd'. Logbestanden veranderen van goedgekeurd in bruikbaar nadat ze minimaal 74 dagen de status 'goedgekeurd' hebben gehad.

Alleen-lezen

Het logbestand wordt vertrouwd op de platformen van Apple, maar is alleen-lezen. Het accepteert geen ingediende certificaten meer. Een alleen-lezenlogbestand wordt beschouwd als 'momenteel goedgekeurd'.

Gedeactiveerd

Het logbestand werd tot de opgegeven deactiveringstijdstempel op de platformen van Apple vertrouwd. Een gedeactiveerd logbestand wordt als 'ooit goedgekeurd' beschouwd als de betreffende SCT is verstrekt vóór de deactiveringstijdstempel. Een gedeactiveerd logbestand wordt niet als 'momenteel goedgekeurd' beschouwd.

Afgewezen

Het logbestand wordt nu en in de toekomst niet vertrouwd op de platformen van Apple. Een afgewezen logbestand wordt niet beschouwd als 'momenteel goedgekeurd' of 'ooit goedgekeurd'.

Deelnameproces

Nadat een logbestand is geaccepteerd voor het Certificate Transparency-logprogramma van Apple, wordt gedurende een controleperiode van 90 dagen gekeken of het logbestand voldoet aan het beleid van Apple. Gedurende deze periode is de status van het logbestand 'in behandeling'.

Logbestanden kunnen door Apple naar eigen inzicht worden afgewezen. Als dit gebeurt, krijgt het logbestand de status 'afgewezen'. Als Apple geen problemen vindt tijdens de controleperiode, kan het logbestand worden goedgekeurd en krijgt het de status 'goedgekeurd'.

Apple blijft ook daarna controleren of het logbestand aan het beleid van het logprogramma voldoet. De status van een logbestand kan tijdens deze periode 'goedgekeurd', 'bruikbaar', 'alleen-lezen' of 'gedeactiveerd' zijn.

Een logbestand kan op elk moment worden gedeactiveerd als Apple dit wenselijk acht of als niet aan het beleid van het logprogramma wordt voldaan. Het logbestand krijgt dan de status 'gedeactiveerd'.

Een aanvraag indienen voor deelname

Als u een aanvraag wilt indienen voor deelname aan het CT-logprogramma van Apple, stuurt u een e-mail naar certificate-transparency-program@group.apple.com met de volgende informatie:

• Beschrijving van het logbestand

• Het beleid voor het goedkeuren van certificaten, inclusief een lijst met goedgekeurde rootcertificaten op onderwerp-DN en SHA256-vingerafdruk

• Het beleid voor het afwijzen van certificaten voor vastlegging in het logbestand

• De MMD van het logbestand

• Contactgegevens, waaronder de e-mailadressen en telefoonnummers, van twee operationele en twee vertegenwoordigende contactpersonen van de beheerder

• De URL (HTTP) van een publiek toegankelijke CT-logbestandserver

• Een publieke sleutel van het CT-logbestand (DER-codering van de SubjectPublicKeyInfo ASN.1-structuur)