Program dzienników Certificate Transparency Apple

POZNAJ ZASADY PROGRAMU DZIENNIKÓW CERTIFICATE TRANSPARENCY APPLE I DOWIEDZ SIĘ, JAK UBIEGAĆ SIĘ O DOŁĄCZENIE DO PROGRAMU.

Celem programu dzienników Certificate Transparency Apple jest ustanowienie zestawu dzienników przejrzystości certyfikatów (CT, Certificate Transparency), które są zaufane na platformach Apple jako dostawcy znaczników SCT (Signed Certificate Timestamp) dla publicznie zaufanych certyfikatów uwierzytelniania serwera TLS.

Zasady i wymagania programu

RFC 6962

Aby dziennik zgodny ze specyfikacją RFC 6962 mógł zostać uwzględniony w programie dzienników Certificate Transparency Apple:

  • Musi implementować CT zgodnie ze specyfikacją RFC 6962.

  • Nie może przedstawiać dwóch lub większej liczby sprzecznych widoków drzewa hash w różnym czasie i (lub) różnym stronom.

  • Musi spełniać wymóg nieprzerwanej pracy na poziomie 99% według pomiarów Apple.

  • Nie może określać maksymalnego opóźnienia scalania (Maximum Merge Delay, MMD) przekraczającego 24 godziny.

  • Musi zawierać certyfikat, dla którego utworzył znacznik SCT w okresie MMD.

  • Musi ufać wszystkim certyfikatom głównym urzędu certyfikacji zawartym w magazynie zaufania Apple.

    • Dzienniki mogą ufać certyfikatom głównym nieuwzględnionym w magazynie zaufania Apple.

Dziennik zgodny ze specyfikacją RFC 6962 może:

  • Odrzucać wygasłe certyfikaty.

  • Odrzucać unieważnione certyfikaty.

  • Odrzucać certyfikaty liścia, które nie zawierają rozszerzonego użycia klucza (Extended Key Usage, EKU) id-kp-serverAuth.

    • Operatorzy dzienników muszą dostarczyć pisemne powiadomienie z co najmniej 45-dniowym wyprzedzeniem na adres certificate-transparency-program@group.apple.com o wszelkich zmianach typów certyfikatów liścia akceptowanych przez ich dzienniki.

STATIC-CT-API

Aby dziennik zgodny ze specyfikacją static-ct-api C2SP mógł zostać uwzględniony w programie dzienników Certificate Transparency Apple:

  • Musi implementować CT zgodnie ze specyfikacją The Static Certificate Transparency API, v1.0.0.

  • Nie może przedstawiać dwóch lub większej liczby sprzecznych widoków drzewa hash w różnym czasie i (lub) różnym stronom.

  • Musi spełniać wymóg nieprzerwanej pracy na poziomie 99% według pomiarów Apple.

  • Nie może określać maksymalnego opóźnienia scalania (Maximum Merge Delay, MMD) przekraczającego 1 minuty.

  • Musi zawierać certyfikat, dla którego utworzył znacznik SCT w okresie MMD.

  • Musi ufać wszystkim certyfikatom głównym urzędu certyfikacji zawartym w magazynie zaufania Apple.

    • Dzienniki mogą ufać certyfikatom głównym nieuwzględnionym w magazynie zaufania Apple.

Dziennik zgodny ze specyfikacją static-ct-api C2SP może:

  • Odrzucać wygasłe certyfikaty.

  • Odrzucać unieważnione certyfikaty.

  • Odrzucać certyfikaty liścia, które nie zawierają rozszerzonego użycia klucza (Extended Key Usage, EKU) id-kp-serverAuth.

    • Operatorzy dzienników muszą dostarczyć pisemne powiadomienie z co najmniej 45-dniowym wyprzedzeniem na adres certificate-transparency-program@group.apple.com o wszelkich zmianach typów certyfikatów liścia akceptowanych przez ich dzienniki.

Stany dzienników na platformach Apple

Dzienniki zawarte na platformach Apple mogą być w jednym z następujących stanów:

Oczekujący

Dziennik zwrócił się o dołączenie do listy zaufanych dzienników Apple, ale nie został jeszcze zaakceptowany. Oczekujący dziennik nie jest liczony jako „obecnie zakwalifikowany” ani „kiedyś zakwalifikowany”.

Zakwalifikowany

Dziennik został zaakceptowany w programie Apple i skonfigurowany do dystrybucji na platformach Apple. Zakwalifikowany dziennik jest liczony jako „obecnie zakwalifikowany”.

Użyteczny

Znacznikom SCT z dziennika można ufać pod względem spełniania zasad CT klienta Apple. Użyteczny dziennik jest liczony jako „obecnie zakwalifikowany”. Dzienniki przechodzą ze stanu Zakwalifikowany do stanu Użyteczny po co najmniej 74 dniach w stanie zakwalifikowania.

Tylko do odczytu

Dziennik jest zaufany na platformach Apple, ale jest przeznaczony tylko do odczytu, czyli przestał akceptować przesyłane certyfikaty. Dziennik przeznaczony tylko do odczytu jest liczony jako „obecnie zakwalifikowany”.

Wycofany

Dziennik był zaufany na platformach Apple do czasu określonego przez znacznik czasu wycofania. Wycofany dziennik jest liczony jako „kiedyś zakwalifikowany”, jeśli dany znacznik SCT został wystawiony przed znacznikiem czasu wycofania. Wycofany dziennik nie jest liczony jako „obecnie zakwalifikowany”.

Odrzucony

Dziennik nie jest i nie będzie zaufany na platformach Apple. Odrzucony dziennik nie jest liczony jako „obecnie zakwalifikowany” ani „kiedyś zakwalifikowany”.

Proces dołączania

Po zaakceptowaniu dziennika w programie dzienników Certificate Transparency Apple następuje okres monitorowania, w trakcie którego dziennik jest sprawdzany pod kątem zgodności z zasadami Apple. W tym czasie dziennik ma stan „oczekujący”.

Apple może odrzucić dowolny dziennik według własnego uznania. Jeśli tak się stanie, stan dziennika zmienia się na „odrzucony”. Jeśli w okresie monitorowania Apple nie znajdzie żadnych problemów, dziennik może zostać zaakceptowany i wówczas stan dziennika zmienia się na „zakwalifikowany”.

Apple monitoruje dziennik na bieżąco pod kątem zgodności z zasadami programu dzienników. W tym czasie dziennik może mieć stan „zakwalifikowany”, „użyteczny”, „tylko do odczytu” lub „wycofany”.

Dziennik może zostać w każdej chwili wycofany według uznania Apple lub na skutek braku zgodności z zasadami programu dzienników. Stan dziennika zmienia się wtedy na „wycofany”.

Ubieganie się o dołączenie

Aby ubiegać się o dołączenie do programu dzienników CT Apple, wyślij wiadomość e-mail na adres certificate-transparency-program@group.apple.com i dołącz następujące informacje:

  • Opis dziennika, w tym:

    • zasady akceptowania certyfikatów, jeśli takie istnieją;

    • zasady odrzucania rejestrowania certyfikatów, jeśli takie istnieją;

    • listę akceptowanych certyfikatów głównych według nazwy wyróżniającej podmiotu i odcisku palca SHA256; oraz

    • specyfikację (RFC 6962 lub static-ct-api), z którą jest zgodny dziennik.

  • Adres URL (HTTP) publicznie dostępnego serwera dziennika CT.

  • Klucz publiczny dziennika (kodowanie DER struktury SubjectPublicKeyInfo ASN.1).

  • Okres MMD dziennika.

  • Zakres wygaśnięcia tymczasowo podzielonego na fragmenty certyfikatu dziennika, w tym:

    • wartość end_exclusive zgodną z normą ISO 8601 daty i godziny w formacie UTC; oraz

    • wartość start_inclusive zgodną z normą ISO 8601 daty i godziny w formacie UTC.

  • Informacje kontaktowe, w tym adresy e-mail dwóch osób kontaktowych ds. operacji operatora oraz dwóch osób kontaktowych przedstawiciela operatora.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: