Apples Certificate Transparency-loggprogram
FINN UT MER OM RETNINGSLINJENE FOR APPLES CERTIFICATE TRANSPARENCY-LOGGPROGRAM OG HVORDAN DU SØKER OM Å INKLUDERES.
Formålet med Apples Certificate Transparency-loggprogram er å opprette et sett med godkjente CT (Certificate Transparency)-logger på Apples plattformer som kan gi SCT-er (Signed Certificate Timestamps) til allment godkjente TLS-sertifikater for servergodkjenning.
Retningslinjer og krav for programmet
RFC 6962
For å vurderes for inkludering i Apples Certificate Transparency-loggprogram må en logg som overholder RFC 6962:
implementere CT som angitt av RFC 6962.
ikke vise to eller flere motstridende versjoner av et Merkle-tre på ulike tidspunkter og/eller til ulike parter
oppfylle Apples krav om oppetid på 99 %, målt av Apple
ikke angi en MMD (maksimal sammenslåingsforsinkelse) som overskrider 24 timer
inkludere et sertifikat om at den har opprettet et SCT innenfor MMD
godkjenne alle CA-rotsertifikater som er inkludert i Apples Trust Store
Logger kan godkjenne rotsertifikater som ikke er inkludert i Apples Trust Store.
En logg som overholder RFC 6962 kan:
avvise utløpte sertifikater
avvise tilbakekalte sertifikater
avvise leaf-sertifikater som ikke inneholder ID-kp-serverAuth Extended Key Usage (EKU)
Loggoperatører må gi certificate-transparency-program@group.apple.com skriftlig varsel minst 45 dager før de gjør endringer i typene leaf-sertifikater som loggene deres godtar.
STATIC-CT-API
For å vurderes for inkludering i Apples Certificate Transparency-loggprogram må en logg som overholder static-ct-api C2SP-spesifikasjonen:
implementere CT som spesifisert av Static Certificate Transparency-API-en, v1.0.0.
ikke vise to eller flere motstridende versjoner av et Merkle-tre på ulike tidspunkter og/eller til ulike parter
oppfylle Apples krav om oppetid på 99 %, målt av Apple
ikke angi en MMD (maksimal sammenslåingsforsinkelse) som overskrider 1 minutt
inkludere et sertifikat om at den har opprettet et SCT innenfor MMD
godkjenne alle CA-rotsertifikater som er inkludert i Apples Trust Store
Logger kan godkjenne rotsertifikater som ikke er inkludert i Apples Trust Store.
En logg som overholder static-ct-api C2SP-spesifikasjonen kan:
avvise utløpte sertifikater
avvise tilbakekalte sertifikater
avvise leaf-sertifikater som ikke inneholder ID-kp-serverAuth Extended Key Usage (EKU)
Loggoperatører må gi certificate-transparency-program@group.apple.com skriftlig varsel minst 45 dager før de gjør endringer i typene leaf-sertifikater som loggene deres godtar.
Loggstatus på Apples plattformer
Logger som er inkludert på Apples plattformer, kan ha én av følgende tilstander:
Venter
Loggen har bedt om inkludering i Apples godkjente loggliste, men har ikke blitt godkjent ennå. En ventende logg telles ikke som «kvalifisert for øyeblikket» eller «kvalifisert én gang».
Kvalifisert
Loggen er godkjent i Apples program og klar for distribusjon til Apples plattformer. En kvalifisert logg telles som «kvalifisert for øyeblikket».
Brukbar
SCT-ene fra loggen overholder Apples CT-retningslinjer for klienter. En brukbar logg telles som «kvalifisert for øyeblikket». Logger overføres fra kvalifisert til brukbar etter minst 74 dager i kvalifisert tilstand.
Readonly
Loggen er godkjent på Apples plattformer, men er skrivebeskyttet, som vil si at loggen har sluttet å godta sertifikatinnsendinger. En skrivebeskyttet logg telles som «kvalifisert for øyeblikket».
Tilbaketrukket
Loggen var godkjent på Apples plattformer frem til det bestemte tidspunktet den ble tilbaketrukket. En tilbaketrukket logg telles som «kvalifisert én gang» hvis den aktuelle SCT-en ble utstedt før tidspunktet for tilbaketrekking. En tilbaketrukket logg telles ikke som «kvalifisert for øyeblikket».
Avvist
Loggen er ikke og blir ikke godkjent av Apples plattformer. En avvist logg telles ikke som «kvalifisert for øyeblikket» eller «kvalifisert én gang».
Inkluderingsprosess
Når en logg godkjennes i Apples Certificate Transparency-loggprogram, overvåkes loggen i en periode for å se om den samsvarer med Apples retningslinjer. Under overvåkingen er loggstatusen «venter».
Apple kan avvise alle logger etter eget skjønn. Hvis dette skjer, endres loggstatusen til «avvist». Hvis Apple ikke finner noen problemer under overvåkingsperioden, kan loggen godkjennes, og loggstatusen endres til «kvalifisert».
Apple overvåker loggen løpende for å se om den overholder retningslinjene for loggprogrammet. Loggstatusen i denne perioden kan være «kvalifisert», «brukbar», «fryst» eller «tilbaketrukket».
En logg kan når som helst tilbaketrekkes etter Apples eget skjønn eller som et resultat av at den ikke overholder retningslinjene for loggprogrammet. Loggtilstanden endres da til «tilbaketrukket».
Søk om inkludering
Hvis du vil søke om å bli inkludert i Apples CT-loggprogram, sender du en e-post til certificate-transparency-program@group.apple.com
Loggens beskrivelse, inkludert følgende:
Retningslinjene for å godta sertifikater, hvis aktuelt.
Retningslinjene for avvisning av loggsertifikater, hvis aktuelt.
En liste over godkjente rotsertifikater etter Subject DN og SHA256-fingeravtrykk.
Spesifikasjonen (RFC 6962 eller static-ct-api) som loggen er i samsvar med.
En allment tilgjengelig nettadresse for en CT-loggserver (HTTP).
En allment tilgjengelig nøkkel for loggen (DER-koding av SubjectPublicKeyInfo ASN.1-strukturen).
Loggens MMD.
Loggens temporale fragmenterte sertifikatsutløpsområde, inkludert:
end_exclusive-verdien i ISO 8601 Date and Time i UTC-formatstart_inclusive-verdien i ISO 8601 Date and Time i UTC-format
Kontaktinformasjon, inkludert e-postadresser for to operatørkontakter og to operatørrepresentanter.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.