Programa de registro de Transparência de Certificados da Apple

Conheça as políticas do programa de registro de Transparência de Certificados da Apple e saiba como solicitar a inclusão.

O objetivo do programa de registro de Transparência de Certificados da Apple é criar um conjunto de registros de Transparência de Certificados (CT) considerados confiáveis nas plataformas da Apple para fornecer marcações de data e hora de certificado assinado (SCTs) para certificados de autenticação de servidor TLS publicamente confiáveis.

Políticas e requisitos do programa

Para serem considerados para inclusão no programa de registro de Transparência de Certificados da Apple, os registros devem cumprir todos estes requisitos:

• As instâncias do registro devem implementar a CT conforme especificado pela RFC6962.

• Um registro não deve apresentar duas ou mais visões conflitantes da árvore de Merkle em momentos diferentes e/ou para partes diferentes.

• O atraso máximo de mesclagem (MMD) dos registros é de 24 horas.

• O registro deve incluir um certificado com uma SCT criada dentro do prazo do MMD.

• As instâncias do registro devem cumprir o requisito de tempo de atividade da Apple de 99%, conforme medido pela Apple.

• Nenhuma indisponibilidade do registro pode ser superior ao MMD.

• O registro deve aceitar certificados emitidos pela CA raiz de conformidade da Apple para monitorar a conformidade do registro com estas políticas.

• Os registros devem confiar em todos os certificados de CA raiz incluídos nos certificados confiáveis da Apple. Os registros podem confiar em outros certificados raiz que não estão entre os certificados da Apple.

São permitidas até três instâncias de registro qualificado ou utilizável por operador. No caso de registros sem restrições quanto ao vencimento do certificado, uma instância é representada como um URL e a chave de assinatura do registro. No caso de registros com restrições quanto ao vencimento do certificado, um conjunto de registros com tempo fragmentado conta como uma única instância. Este é um exemplo de uma instância com um único registro em execução em quatro fragmentos de tempo:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Estados dos registros nas plataformas da Apple

Os registros incluídos nas plataformas da Apple podem estar em um destes estados:

Pendente

O registro solicitou a inclusão na lista de registros confiáveis da Apple, mas a solicitação ainda não foi aceita. Um registro pendente não é considerado como "atualmente qualificado" ou "qualificado anteriormente".

Qualificado

O registro foi aceito no programa da Apple e configurado para distribuição para as plataformas da Apple. Um registro qualificado é considerado como "atualmente qualificado".

Utilizável

As SCTs do registro podem ser consideradas confiáveis quanto ao cumprimento da política de CT do cliente da Apple. Um registro utilizável é considerado como "atualmente qualificado". O registro passa do estado qualificado para utilizável após no mínimo 74 dias com o estado qualificado.

Somente leitura

O registro é confiável nas plataformas da Apple, mas é somente leitura, ou seja, parou de aceitar envios de certificados. Um registro somente leitura é considerado como "atualmente qualificado".

Desativado

O registro era confiável nas plataformas da Apple até a marcação de data/hora especificada para desativação. Um registro desativado será considerado como "qualificado anteriormente" se a SCT em questão tiver sido emitida antes da marcação de data/hora da desativação. Um registro desativado não é considerado como "atualmente qualificado".

Rejeitado

O registro não é (e não será) considerado registro confiável nas plataformas da Apple. Um registro rejeitado não é considerado como "atualmente qualificado" ou "qualificado anteriormente".

Processo de inclusão

Após ser aceito no programa de registro de Transparência de Certificados da Apple, o registro é monitorado por 90 dias para verificar a conformidade com a política da Apple. Durante esse período, o estado do registro é "pendente".

A Apple pode rejeitar qualquer registro segundo seu próprio critério. Se isso acontecer, o estado do registro será "rejeitado". Se a Apple não encontrar problemas durante o período do monitoramento, o registro poderá ser aceito e passará a ter o estado "qualificado".

A Apple monitora continuamente os registros para verificar a conformidade com as políticas do programa de registro. O estado do registro durante esse período pode ser "qualificado", "utilizável", "somente leitura" ou "desativado".

Um registro pode ser desativado a qualquer momento a critério da Apple ou como resultado do não cumprimento das políticas do programa de registro. Nesse caso, o estado do registro passa a ser "desativado".

Solicitar inclusão

Para solicitar a inclusão no programa de registro de CT da Apple, envie um e-mail para certificate-transparency-program@group.apple.com e inclua as seguintes informações:

• A descrição do registro

• A política de aceitação de certificados, incluindo uma lista de certificados raiz aceitos por DN do sujeito e impressão digital SHA256

• A política de rejeição da inclusão de certificados no registro

• O MMD do registro

• As informações de contato, incluindo os endereços de e-mail e os números de telefone de dois contatos de operações do operador e dois contatos do representante do operador

• Um URL do servidor de registro de CT acessível publicamente (HTTP)

• Uma chave pública do registro de CT (codificação DER da estrutura ASN.1 SubjectPublicKeyInfo)