Het Certificate Transparency-logprogramma van Apple

LEES MEER OVER HET BELEID VAN HET CERTIFICATE TRANSPARENCY-LOGPROGRAMMA VAN APPLE EN HOE JE DEELNAME ERAAN KUNT AANVRAGEN.

Het Certificate Transparency-logprogramma van Apple heeft tot doel om een set vertrouwde CT-logbestanden (Certificate Transparency) voor de platforms van Apple vast te stellen waarmee SCT-tijdstempels voor ondertekende certificaten (Signed Certificate Timestamps) worden gegenereerd voor vertrouwde openbare TLS-serveridentiteitscontrolecertificaten.

Beleid en vereisten van het programma

RFC 6962

Om in aanmerking te komen voor deelname aan het Certificate Transparency-logprogramma van Apple, moet een logbestand dat voldoet aan RFC 6962 voldoen aan de volgende vereisten:

De implementatie van CT moet voldoen aan RFC 6962.
Mag niet twee of meer conflicterende weergaven bevatten van de Merkle-hiërarchie op verschillende tijdstippen en/of voor verschillende partijen.
Moet 99% van de tijd beschikbaar zijn (zoals gemeten door Apple).
Mag geen MMD (Maximum Merge Delay; maximale samenvoegvertraging) specificeren die langer is dan 24 uur.
Moet een certificaat bevatten waarvoor door het logbestand een SCT is aangemaakt binnen de MMD.
Moet alle root-CA-certificaten vertrouwen die deel uitmaken van de de vertrouwde opslag van Apple.
- Logbestanden kunnen roots vertrouwen die geen deel uitmaken van de vertrouwde opslag van Apple.

Een logbestand dat voldoet aan RFC 6962 kan:

verlopen certificaten afwijzen.
ingetrokken certificaten afwijzen.
leaf-certificaten afwijzen die niet de instelling id-kp-serverAuth Extended Key Usage (EKU, uitgebreid sleutelgebruik) bevatten.
- Logboekoperators moeten certificate-transparency-program@group.apple.com minimaal 45 dagen van tevoren schriftelijk op de hoogte stellen van eventuele wijzigingen in de geaccepteerde reeks leaf-certificaten die hun logbestanden accepteren.

STATIC-CT-API

Om in aanmerking te komen voor deelname aan het Certificate Transparency-logprogramma van Apple, moet een logbestand dat voldoet aan de static-ct-api C2SP-specificatie voldoen aan de volgende vereisten:

Moet CT implementeren zoals gespecificeerd door de Static Certificate Transparency API v1.0.0.
Mag niet twee of meer conflicterende weergaven bevatten van de Merkle-hiërarchie op verschillende tijdstippen en/of voor verschillende partijen.
Moet 99% van de tijd beschikbaar zijn (zoals gemeten door Apple).
Mag geen MMD (Maximum Merge Delay; maximale samenvoegvertraging) specificeren die langer is dan 1 minuut.
Moet een certificaat bevatten waarvoor door het logbestand een SCT is aangemaakt binnen de MMD.
Moet alle root-CA-certificaten vertrouwen die deel uitmaken van de de vertrouwde opslag van Apple.
- Logbestanden kunnen roots vertrouwen die geen deel uitmaken van de vertrouwde opslag van Apple.

Een logbestand dat voldoet aan de static-ct-api C2SP-specificatie kan:

verlopen certificaten afwijzen.
ingetrokken certificaten afwijzen.
leaf-certificaten afwijzen die niet de instelling id-kp-serverAuth Extended Key Usage (EKU, uitgebreid sleutelgebruik) bevatten.
- Logboekoperators moeten certificate-transparency-program@group.apple.com minimaal 45 dagen van tevoren schriftelijk op de hoogte stellen van eventuele wijzigingen in de geaccepteerde reeks leaf-certificaten die hun logbestanden accepteren.

De status van logbestanden op de platforms van Apple

Logbestanden op de platforms van Apple kunnen de volgende status hebben:

In behandeling

Er is een aanvraag ingediend om het logbestand toe te voegen aan de lijst van Apple met vertrouwde logbestanden, maar de aanvraag is nog niet geaccepteerd. Een logbestand dat in behandeling is, wordt niet beschouwd als 'momenteel goedgekeurd' of 'ooit goedgekeurd'.

Goedgekeurd

Het logbestand is geaccepteerd voor het programma van Apple en is klaar voor distributie naar de platforms van Apple. Een goedgekeurd logbestand wordt beschouwd als 'momenteel goedgekeurd'.

Bruikbaar

Er kan van worden uitgegaan dat de SCT's uit het logbestand voldoen aan het CT-clientbeleid van Apple. Een bruikbaar logbestand wordt beschouwd als 'momenteel goedgekeurd'. Logbestanden veranderen van goedgekeurd in bruikbaar nadat ze minimaal 74 dagen de status 'goedgekeurd' hebben gehad.

Alleen-lezen

Het logbestand wordt vertrouwd op de platforms van Apple, maar is alleen-lezen. Het accepteert geen ingediende certificaten meer. Een alleen-lezen logbestand wordt beschouwd als 'momenteel goedgekeurd'.

Gedeactiveerd

Het logbestand werd tot de opgegeven deactiveringstijdstempel op de platforms van Apple vertrouwd. Een gedeactiveerd logbestand wordt als 'ooit goedgekeurd' beschouwd als de betreffende SCT is verstrekt vóór de deactiveringstijdstempel. Een gedeactiveerd logbestand wordt niet als 'momenteel goedgekeurd' beschouwd.

Afgewezen

Het logbestand wordt nu en in de toekomst niet vertrouwd op de platforms van Apple. Een afgewezen logbestand wordt niet beschouwd als 'momenteel goedgekeurd' of 'ooit goedgekeurd'.

Deelnameproces

Nadat een logbestand is geaccepteerd voor het Certificate Transparency-logprogramma van Apple, wordt gedurende een controleperiode gekeken of het logbestand voldoet aan het beleid van Apple. Gedurende deze periode is de status van het logbestand 'in behandeling'.

Logbestanden kunnen door Apple naar eigen inzicht worden afgewezen. Als dit gebeurt, krijgt het logbestand de status 'afgewezen'. Als Apple geen problemen vindt tijdens de controleperiode, kan het logbestand worden goedgekeurd en krijgt het de status 'goedgekeurd'.

Apple blijft ook daarna controleren of het logbestand aan het beleid van het logprogramma voldoet. De status van een logbestand kan tijdens deze periode 'goedgekeurd', 'bruikbaar', 'alleen-lezen' of 'gedeactiveerd' zijn.

Een logbestand kan op elk moment worden gedeactiveerd als Apple dit wenselijk acht of als niet aan het beleid van het logprogramma wordt voldaan. Het logbestand krijgt dan de status 'gedeactiveerd'.

Een aanvraag indienen voor deelname

Om een aanvraag in te dienen voor deelname aan het CT-logprogramma van Apple, stuur je een e-mail naar certificate-transparency-program@group.apple.com en vermeld je het volgende:

Beschrijving van het logbestand, met inbegrip van:
- het beleid voor het accepteren van certificaten, indien van toepassing;
- het beleid voor het afwijzen van certificaten voor vastlegging in het logbestand, indien van toepassing;
- een lijst met goedgekeurde rootcertificaten op onderwerp-DN en SHA256-vingerafdruk; en
- de specificatie (RFC 6962 of static-ct-api) waaraan het logbestand voldoet.
De URL (HTTP) van een publiek toegankelijke CT-logbestandserver.
De publieke sleutel van het logbestand (DER-codering van de SubjectPublicKeyInfo ASN.1-structuur).
De MMD van het logbestand.
De tijdelijk gedeelde vervalperiode van het certificaat in het logbestand, met inbegrip van:
- de end_exclusive waarde in ISO 8601 Datum en Tijd in UTC-indeling; en
- de start_inclusive waarde in ISO 8601 Datum en Tijd in UTC-indeling.
Contactgegevens, waaronder de e-mailadressen van twee operationele en twee vertegenwoordigende contactpersonen van de beheerder.

Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.

Publicatiedatum: 1 juli 2025