Programa de registo Certificate Transparency da Apple

SAIBA MAIS SOBRE AS POLÍTICAS DO PROGRAMA DE REGISTO CERTIFICATE TRANSPARENCY DA APPLE E SOBRE COMO SE PODE CANDIDATAR AO MESMO.

O objetivo do programa de registo Certificate Transparency da Apple é estabelecer um conjunto de registos de Certificate Transparency (CT) que sejam considerados fidedignos nas plataformas da Apple, para fornecer Signed Certificate Timestamps (SCT) a certificados de autenticação de servidor TLS publicamente fidedignos.

Políticas e requisitos do programa

RFC 6962

Para ser considerado para inclusão no programa de registo Certificate Transparency da Apple, um registo em conformidade com o RFC 6962 tem de:

  • implementar o CT conforme especificado pelo RFC 6962.

  • não apresentar duas ou mais vistas da árvore de Merkle em conflito, em momentos diferentes e/ou a entidades diferentes.

  • cumprir o requisito de tempo de atividade de 99% da Apple, conforme medido por esta.

  • não especificar um Maximum Merge Delay (MMD) que ultrapasse 24 horas.

  • incorporar um certificado para o qual criou um SCT no MMD.

  • confiar em todos os certificados de autoridade de certificação raiz incluídos nos certificados da Apple.

    • Os registos podem confiar em raízes não incluídas nos certificados da Apple.

Um registo em conformidade com o RFC 6962 pode:

  • rejeitar certificados expirados.

  • rejeitar certificados revogados.

  • rejeitar certificados de último nível que não contenham o EKU (Extended Key Usage) id-kp-serverAuth.

    • Os operadores de registos têm de enviar um aviso por escrito com um mínimo de 45 dias de antecedência para certificate-transparency-program@group.apple.com de quaisquer alterações aos tipos de certificados de último nível aceites pelos respetivos registos.

STATIC-CT-API

Para ser considerados para inclusão no programa de registo Certificate Transparency da Apple, um registo em conformidade com a especificação C2SP static-ct-api tem de:

  • implementar o CT conforme especificado por The Static Certificate Transparency API, v1.0.0.

  • não apresentar duas ou mais vistas da árvore de Merkle em conflito, em momentos diferentes e/ou a entidades diferentes.

  • cumprir o requisito de tempo de atividade de 99% da Apple, conforme medido por esta.

  • não especificar um Maximum Merge Delay (MMD) que ultrapasse 1 minuto.

  • incorporar um certificado para o qual criou um SCT no MMD.

  • confiar em todos os certificados de autoridade de certificação raiz incluídos nos certificados da Apple.

    • Os registos podem confiar em raízes não incluídas nos certificados da Apple.

Um registo em conformidade com a especificação C2SP static-ct-api pode:

  • rejeitar certificados expirados.

  • rejeitar certificados revogados.

  • rejeitar certificados de último nível que não contenham o EKU (Extended Key Usage) id-kp-serverAuth.

    • Os operadores de registos têm de enviar um aviso por escrito com um mínimo de 45 dias de antecedência para certificate-transparency-program@group.apple.com de quaisquer alterações aos tipos de certificados de último nível aceites pelos respetivos registos.

Estados dos registos nas plataformas da Apple

Os registos incluídos nas plataformas da Apple podem estar num dos seguintes estados:

Pendente

O registo solicitou a inclusão na lista de registos de confiança da Apple, mas ainda não foi aceite. Um registo pendente não conta como "qualificado atualmente" ou "qualificado anteriormente".

Qualificado

O registo foi aceite no programa da Apple e preparado para distribuição nas plataformas da Apple. Um registo qualificado conta como "qualificado atualmente".

Utilizável

Os SCT do registo cumprem a política de CT de cliente da Apple. Um registo utilizável conta como "qualificado atualmente". Os registos passam de qualificados a utilizáveis após um mínimo de 74 dias no estado qualificado.

Só de leitura

O registo é considerado fidedigno nas plataformas da Apple, mas é só de leitura, ou seja, parou de aceitar envios de certificados. Um registo só de leitura conta como "qualificado atualmente".

Removido

O registo foi considerado fidedigno nas plataformas da Apple até à data específica de remoção. Um registo removido conta como "qualificado anteriormente" se o SCT em questão for emitido antes da data de remoção. Um registo removido não conta como "qualificado atualmente".

Rejeitado

O registo não é nem será considerado fidedigno nas plataformas da Apple. Um registo rejeitado não conta como "qualificado atualmente" ou "qualificado anteriormente".

Processo de inclusão

Após a aceitação de um registo no programa de registos Certificate Transparency da Apple, há um período de monitorização para verificar a conformidade do mesmo com a política da Apple. Durante este período, o estado do registo é "pendente".

Qualquer registo pode ser rejeitado por responsabilidade da Apple. Se esta situação ocorrer, o estado do registo será "rejeitado". Se a Apple não detetar problemas durante o período de monitorização, o registo poderá ser aceite e o respetivo estado será "qualificado".

A Apple monitoriza o registo de forma contínua para verificar a conformidade com as políticas do programa de registos. Durante este período, o estado de um registo pode ser "qualificado", "utilizável", "só de leitura" ou "removido".

Um registo pode ser removido em qualquer momento, por responsabilidade da Apple ou como consequência da ausência de conformidade com as políticas do programa de registos. O estado do registo será "removido".

Candidatura

Para se candidatar ao programa de registos CT da Apple, envie um e-mail para certificate-transparency-program@group.apple.com e inclua as seguintes informações:

  • A descrição do registo, incluindo:

    • a política de aceitação de certificados, caso exista;

    • a política de rejeição de certificados para registos, caso exista;

    • uma lista de certificados raiz aceites por Nome único do requerente e impressão digital SHA256; e

    • a especificação (RFC 6962 ou static-ct-api) com a qual o registo está em conformidade.

  • O URL do servidor de registo CT publicamente acessível (HTTP).

  • A chave pública do registo (codificação DER da estrutura ASN.1 SubjectPublicKeyInfo).

  • O MMD do registo.

  • O intervalo de expiração temporalmente fragmentado do certificado do registo, incluindo:

    • o valor de end_exclusive no formato de Data e hora UTC ISO 8601; e

    • o valor de start_inclusive no formato de data e hora UTC ISO 8601.

  • Informações de contacto, incluindo os endereços de e-mail e números de telefone de dois contactos de operações do operador e dois contactos de representantes do operador.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: