Program dzienników Certificate Transparency Apple

Poznaj zasady programu dzienników Certificate Transparency Apple i dowiedz się, jak ubiegać się o dołączenie do programu.

Celem programu dzienników Certificate Transparency Apple jest ustanowienie zestawu dzienników przejrzystości certyfikatów (CT, Certificate Transparency), które są zaufane na platformach Apple jako dostawcy znaczników SCT (Signed Certificate Timestamp) dla publicznie zaufanych certyfikatów uwierzytelniania serwera TLS.

Zasady i wymagania programu

Aby mogły zostać dołączone do programu dzienników Certificate Transparency Apple, dzienniki muszą spełniać wszystkie z następujących wymagań:

• Wystąpienia dzienników muszą implementować protokół CT zgodnie z opisem w dokumencie RFC6962.

• Dziennik nie może przedstawiać dwóch lub większej liczby sprzecznych widoków drzewa hash w różnym czasie i (lub) różnym stronom.

• Maksymalne opóźnienie scalania (MMD, Maximum Merge Delay) dla dzienników wynosi 24 godziny.

• Dziennik musi zawierać certyfikat, dla którego utworzył znacznik SCT w okresie MMD.

• Wystąpienie dziennika musi spełniać wymóg Apple w zakresie dostępności wynoszący 99%, zgodnie z pomiarami wykonanymi przez Apple.

• Żadna z przerw w działaniu dziennika nie może trwać dłużej niż okres MMD.

• Dziennik musi akceptować certyfikaty wydane przez główny urząd certyfikacji zgodności Apple w celu monitorowania zgodności dziennika z tymi zasadami.

• Dzienniki muszą ufać wszystkim certyfikatom głównym urzędu certyfikacji zawartym w magazynie zaufania Apple. Dzienniki mogą ufać dodatkowym certyfikatom głównym, które mogą nie być zawarte w magazynie zaufania Apple.

Dla każdego operatora dozwolone są maksymalnie trzy wystąpienia zakwalifikowanych lub użytecznych dzienników. W przypadku dzienników bez ograniczeń wygasania certyfikatów wystąpienie jest reprezentowane jako adres URL oraz klucz podpisywania dziennika. W przypadku dzienników z ograniczeniami wygasania certyfikatów zestaw dzienników dzielonych czasowo liczy się jako jedno wystąpienie. Oto przykład wystąpienia jednego dziennika z uruchomionymi czterema podziałami czasu:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Stany dzienników na platformach Apple

Dzienniki zawarte na platformach Apple mogą być w jednym z następujących stanów:

Oczekujący

Dziennik zwrócił się o dołączenie do listy zaufanych dzienników Apple, ale nie został jeszcze zaakceptowany. Oczekujący dziennik nie jest liczony jako „obecnie zakwalifikowany” ani „kiedyś zakwalifikowany”.

Zakwalifikowany

Dziennik został zaakceptowany w programie Apple i skonfigurowany do dystrybucji na platformach Apple. Zakwalifikowany dziennik jest liczony jako „obecnie zakwalifikowany”.

Użyteczny

Znacznikom SCT z dziennika można ufać pod względem spełniania zasad CT klienta Apple. Użyteczny dziennik jest liczony jako „obecnie zakwalifikowany”. Dzienniki przechodzą ze stanu Zakwalifikowany do stanu Użyteczny po co najmniej 74 dniach w stanie zakwalifikowania.

Tylko do odczytu

Dziennik jest zaufany na platformie Apple, ale jest przeznaczony tylko do odczytu, czyli przestał akceptować przesyłane certyfikaty. Dziennik tylko do odczytu jest liczony jako „obecnie zakwalifikowany”.

Wycofany

Dziennik był zaufany na platformach Apple do czasu określonego przez znacznik czasu wycofania. Wycofany dziennik jest liczony jako „kiedyś zakwalifikowany”, jeśli dany znacznik SCT został wystawiony przed znacznikiem czasu wycofania. Wycofany dziennik nie jest liczony jako „obecnie zakwalifikowany”.

Odrzucony

Dziennik nie jest i nie będzie zaufany na platformach Apple. Odrzucony dziennik nie jest liczony jako „obecnie zakwalifikowany” ani „kiedyś zakwalifikowany”.

Proces dołączania

Po zaakceptowaniu dziennika w programie dzienników Certificate Transparency Apple następuje 90-dniowy okres monitorowania, w trakcie którego dziennik jest sprawdzany pod kątem zgodności z zasadami Apple. W tym czasie dziennik ma stan „oczekujący”.

Apple może odrzucić dowolny dziennik według własnego uznania. Jeśli tak się stanie, stan dziennika zmienia się na „odrzucony”. Jeśli w okresie monitorowania Apple nie znajdzie żadnych problemów, dziennik może zostać zaakceptowany i wówczas stan dziennika zmienia się na „zakwalifikowany”.

Apple monitoruje dziennik na bieżąco pod kątem zgodności z zasadami programu dzienników. W tym czasie dziennik może mieć stan „zakwalifikowany”, „użyteczny”, „tylko do odczytu” lub „wycofany”.

Dziennik może zostać w każdej chwili wycofany według uznania Apple lub na skutek braku zgodności z zasadami programu dzienników. Stan dziennika zmienia się wtedy na „wycofany”.

Ubieganie się o dołączenie

Aby ubiegać się o dołączenie do programu dzienników CT Apple, wyślij wiadomość e-mail na adres certificate-transparency-program@group.apple.com i dołącz następujące informacje:

• Opis dziennika

• Zasady akceptowania certyfikatów, w tym lista zaakceptowanych certyfikatów głównych według nazwy wyróżniającej podmiotu i odcisku palca SHA256

• Zasady odrzucania rejestrowania certyfikatów

• Okres MMD dziennika

• Informacje kontaktowe, w tym adresy e-mail i numery telefonów dwóch osób kontaktowych ds. operacji operatora oraz dwóch osób kontaktowych przedstawiciela operatora

• Adres URL (HTTP) publicznie dostępnego serwera dziennika CT

• Klucz publiczny dziennika CT (kodowanie DER struktury SubjectPublicKeyInfo ASN.1)