Programa de registro de Transparência de Certificados da Apple

CONHEÇA AS POLÍTICAS DO PROGRAMA DE REGISTRO DE TRANSPARÊNCIA DE CERTIFICADOS DA APPLE E SAIBA COMO SOLICITAR A INCLUSÃO.

O objetivo do programa de registro de Transparência de Certificados da Apple é criar um conjunto de registros de Transparência de Certificados (CT) considerados confiáveis nas plataformas da Apple para fornecer marcações de data e hora de certificado assinado (SCTs) para certificados de autenticação de servidor TLS publicamente confiáveis.

Políticas e requisitos do programa

RFC 6962

Para ser considerado para inclusão no programa de registro de Transparência de Certificados da Apple, um registro em conformidade com a RFC 6962 deve:

  • implementar a CT conforme especificado pela RFC 6962.

  • não apresentar duas ou mais visões conflitantes da árvore de Merkle em momentos diferentes e/ou para partes diferentes.

  • atender ao requisito de tempo de atividade da Apple de 99%, conforme medido pela Apple.

  • não especificar um atraso máximo de mesclagem (MMD) que exceda 24 horas.

  • incluir um certificado com uma SCT criada dentro do prazo do MMD.

  • confiar em todos os certificados de CA raiz incluídos nos certificados confiáveis da Apple.

    • Os registros podem confiar em raízes não incluídas nos certificados confiáveis da Apple.

Um registro em conformidade com a RFC 6962 pode:

  • rejeitar certificados expirados.

  • rejeitar certificados revogados.

  • rejeitar certificados de folha que não contém o uso de chave estendida (EKU) id-kp-serverAuth.

    • Os operadores de registro devem enviar um aviso prévio por escrito com no mínimo 45 dias de antecedência para o e-mail certificate-transparency-program@group.apple.com informando sobre quaisquer alterações nos tipos de certificado de folha que os registros aceitam.

STATIC-CT-API

Para ser considerado para inclusão no programa de registro de Transparência de Certificados da Apple, um registro em conformidade com a especificação static-ct-api C2SP deve:

  • implementar a CT conforme especificado pela API de Transparência de Certificados da Apple, v1.0.0.

  • não apresentar duas ou mais visões conflitantes da árvore de Merkle em momentos diferentes e/ou para partes diferentes.

  • atender ao requisito de tempo de atividade da Apple de 99%, conforme medido pela Apple.

  • não especificar um atraso máximo de mesclagem (MMD) que exceda 1 minuto.

  • incluir um certificado com uma SCT criada dentro do prazo do MMD.

  • confiar em todos os certificados de CA raiz incluídos nos certificados confiáveis da Apple.

    • Os registros podem confiar em raízes não incluídas nos certificados confiáveis da Apple.

Um registro em conformidade com a especificação static-ct-api C2SP pode:

  • rejeitar certificados expirados.

  • rejeitar certificados revogados.

  • rejeitar certificados de folha que não contém o uso de chave estendida (EKU) id-kp-serverAuth.

    • Os operadores de registro devem enviar um aviso prévio por escrito com no mínimo 45 dias de antecedência para o e-mail certificate-transparency-program@group.apple.com informando sobre quaisquer alterações nos tipos de certificado de folha que os registros aceitam.

Estados dos registros nas plataformas da Apple

Os registros incluídos nas plataformas da Apple podem estar em um destes estados:

Pendente

O registro solicitou a inclusão na lista de registros confiáveis da Apple, mas a solicitação ainda não foi aceita. Um registro pendente não é considerado como "atualmente qualificado" ou "qualificado anteriormente".

Qualificado

O registro foi aceito no programa da Apple e configurado para distribuição para as plataformas da Apple. Um registro qualificado é considerado como "atualmente qualificado".

Utilizável

As SCTs do registro podem ser consideradas confiáveis quanto ao cumprimento da política de CT do cliente da Apple. Um registro utilizável é considerado como "atualmente qualificado". O registro passa do estado qualificado para utilizável após no mínimo 74 dias com o estado qualificado.

Somente leitura

O registro é confiável nas plataformas da Apple, mas é somente leitura, ou seja, parou de aceitar envios de certificados. Um registro somente leitura é considerado como "atualmente qualificado".

Desativado

O registro era confiável nas plataformas da Apple até a marcação de data/hora especificada para desativação. Um registro desativado será considerado como "qualificado anteriormente" se a SCT em questão tiver sido emitida antes da marcação de data/hora da desativação. Um registro desativado não é considerado como "atualmente qualificado".

Rejeitado

O registro não é (e não será) considerado registro confiável nas plataformas da Apple. Um registro rejeitado não é considerado como "atualmente qualificado" ou "qualificado anteriormente".

Processo de inclusão

Após ser aceito no programa de registro de Transparência de Certificados da Apple, o registro é monitorado por um período para verificar a conformidade com a política da Apple. Durante esse período, o estado do registro é "pendente".

A Apple pode rejeitar qualquer registro segundo seu próprio critério. Se isso acontecer, o estado do registro será "rejeitado". Se a Apple não encontrar problemas durante o período do monitoramento, o registro poderá ser aceito e passará a ter o estado "qualificado".

A Apple monitora continuamente os registros para verificar a conformidade com as políticas do programa de registro. O estado do registro durante esse período pode ser "qualificado", "utilizável", "somente leitura" ou "desativado".

Um registro pode ser desativado a qualquer momento a critério da Apple ou como resultado do não cumprimento das políticas do programa de registro. Nesse caso, o estado do registro passa a ser "desativado".

Solicitar inclusão

Para solicitar a inclusão no programa de registro de CT da Apple, envie um e-mail para certificate-transparency-program@group.apple.com e inclua as seguintes informações:

  • A descrição do registro, incluindo:

    • a política para aceitar certificados, se houver;

    • a política de rejeição da inclusão de certificados no registro;

    • uma lista de certificados raiz aceitos por Subject DN e impressão digital SHA256; e

    • a especificação (RFC 6962 ou static-ct-api) com a qual o registro está em conformidade.

  • O URL do servidor de registro de CT acessível publicamente (HTTP).

  • A chave pública do registro de CT (codificação DER da estrutura ASN.1 SubjectPublicKeyInfo).

  • O MMD do registro.

  • O intervalo de expiração do certificado temporalmente fragmentado do registro, incluindo:

    • o valor end_exclusive em Data e Hora ISO 8601 no formato UTC e

    • o valor start_inclusive em Data e Hora ISO 8601 no formato UTC.

  • As informações de contato, incluindo os endereços de e-mail de dois contatos de operações do operador e dois contatos do representante do operador.

As informações sobre produtos não fabricados pela Apple, ou sites independentes não controlados nem testados pela Apple, são fornecidas sem recomendação ou endosso. A Apple não assume responsabilidade alguma com relação à escolha, ao desempenho ou ao uso de sites ou produtos de terceiros. A Apple não garante a precisão nem a confiabilidade de sites de terceiros. Entre em contato com o fornecedor para obter mais informações.

Data da publicação: