Programul de jurnale CT (Certificate Transparency) Apple

AFLĂ MAI MULTE DESPRE POLITICILE PROGRAMULUI DE JURNALE CT (CERTIFICATE TRANSPARENCY) APPLE ȘI MODUL DE SOLICITARE A INCLUDERII.

Obiectivul programului de jurnale CT (Certificate Transparency) Apple este stabilirea unui set de jurnale CT (Certificate Transparency) care sunt considerate de încredere pe platformele Apple în scopul furnizării de SCT-uri (Signed Certificate Timestamp) pentru certificate de autentificare a severelor TLS de încredere publică.

Politicile și cerințele programului

RFC 6962

Pentru a fi luat în considerare pentru includerea în programul de jurnale CT (Certificate Transparency) Apple, un jurnal conform cu RFC 6962 trebuie:

  • să implementeze CT așa cum este specificat de RFC 6962.

  • să nu prezinte două sau mai multe vederi în conflict ale arborelui Merkle la momente diferite și/sau la diferite părți.

  • să îndeplinească cerința Apple de disponibilitate de 99%, așa cum este aceasta măsurată de către Apple.

  • să nu specifice un interval MMD (Maximum Merge Delay) care depășește 24 de ore.

  • să încorporeze un certificat pentru care a creat un SCT în intervalul MMD.

  • să acorde încredere tuturor certificatelor CA rădăcină incluse în Trust Store Apple.

    • Jurnalele pot acorda încredere rădăcinilor care nu sunt incluse în Trust Store Apple.

Un jurnal conform cu RFC 6962 poate:

  • să respingă certificatele expirate.

  • să respingă certificatele revocate.

  • să respingă certificatele leaf care nu conțin utilizarea extinsă a cheii (EKU) id-kp-serverAuth.

    • Operatorii de jurnale trebuie să furnizeze o notificare prealabilă emisă cu minimum 45 de zile în avans către certificate-transparency-program@group.apple.com pentru orice modificare adusă tipurilor de certificate leaf pe care le acceptă jurnalele lor.

STATIC-CT-API

Pentru a fi luat în considerare pentru includerea în programul de jurnale CT (Certificate Transparency) Apple, un jurnal conform cu specificația static-ct-api C2SP trebuie:

  • să implementeze CT așa cum este specificat de API-ul Static Certificate Transparency, v1.0.0.

  • să nu prezinte două sau mai multe vederi în conflict ale arborelui Merkle la momente diferite și/sau la diferite părți.

  • să îndeplinească cerința Apple de disponibilitate de 99%, așa cum este aceasta măsurată de către Apple.

  • să nu specifice un interval MMD (Maximum Merge Delay) care depășește 1 minut.

  • să încorporeze un certificat pentru care a creat un SCT în intervalul MMD.

  • să acorde încredere tuturor certificatelor CA rădăcină incluse în Trust Store Apple.

    • Jurnalele pot acorda încredere rădăcinilor care nu sunt incluse în Trust Store Apple.

Un jurnal conform cu specificația static-ct-api C2SP poate:

  • să respingă certificatele expirate.

  • să respingă certificatele revocate.

  • să respingă certificatele leaf care nu conțin utilizarea extinsă a cheii (EKU) id-kp-serverAuth.

    • Operatorii de jurnale trebuie să furnizeze o notificare prealabilă emisă cu minimum 45 de zile în avans către certificate-transparency-program@group.apple.com pentru orice modificare adusă tipurilor de certificate leaf pe care le acceptă jurnalele lor.

Stările jurnalelor pe platforme Apple

Jurnalele incluse pe platforme Apple pot fi într-una dintre următoarele stări:

În așteptare

Jurnalul a solicitat includerea în lista de jurnale de încredere Apple, însă nu a fost acceptat încă. Un jurnal în așteptare nu este considerat ca fiind „calificat în prezent” sau „o dată calificat”.

Calificat

Jurnalul a fost acceptat în programul Apple și este stabilit pentru distribuire pe platforme Apple. Un jurnal calificat este considerat ca fiind „calificat în prezent”.

Utilizabil

SCT-urile din jurnal pot fi considerate de încredere în ceea ce privește îndeplinirea politicii CT a clientului Apple. Un jurnal utilizabil este considerat ca fiind „calificat în prezent”. Jurnalele trec de la starea „calificat” la starea „utilizabil” după o durată minimă de 74 de zile în starea „calificat”.

Doar în citire

Jurnalul este de încredere pe platformele Apple, însă doar în citire – adică jurnalul a încetat să accepte trimiteri de certificate. Un jurnal doar în citire este considerat ca fiind „calificat în prezent”.

Retras

Jurnalul a fost de încredere pe platforme Apple până la marcajul temporal de retragere specificat. Un jurnal retras este considerat ca fiind „o dată calificat” dacă SCT-ul în cauză a fost emis înainte de marcajul temporal de retragere. Un jurnal retras nu este considerat ca fiind „calificat în prezent”.

Respins

Jurnalul nu este și nu va fi considerat ca fiind de încredere pe platforme Apple. Un jurnal respins nu este considerat ca fiind „calificat în prezent” sau „o dată calificat”.

Procesul de includere

După ce un jurnal este acceptat în programul de jurnale CT (Certificate Transparency) Apple, o perioadă de monitorizare verifică jurnalul pentru conformitate cu politica Apple. În acest interval de timp, starea jurnalului este „în așteptare”.

Apple poate respinge orice jurnal la discreția sa. Dacă se întâmplă acest lucru, starea jurnalului devine „respins”. Dacă Apple nu găsește probleme în timpul perioadei de monitorizare, jurnalul poate fi acceptat, moment în care starea jurnalului devine „calificat”.

Apple monitorizează jurnalul în mod continuu pentru conformitatea cu politicile programului de jurnalizare. Starea unui jurnal în acest interval de timp poate fi „calificat”, „utilizabil”, „doar în citire” sau „retras”.

Un jurnal poate fi retras oricând, la discreția Apple sau ca urmare a nerespectării politicilor programului de jurnale. Jurnalul trece apoi în starea „retras”.

Cererea de includere

Pentru a face o cerere de includere în programul de jurnale CT Apple, trimite un e-mail către certificate-transparency-program@group.apple.com și include următoarele:

  • Descrierea jurnalului, inclusiv:

    • politica de acceptare a certificatelor, dacă este cazul;

    • politica de respingere a certificatelor pentru jurnalizare, dacă este cazul;

    • o listă a certificatelor rădăcină acceptate prin Subject DN și amprenta SHA256; și

    • specificația (RFC 6962 sau static-ct-api) cu care se conformează jurnalul.

  • URL-ul unui server de jurnale CT cu accesibilitate publică (HTTP).

  • Cheia publică a jurnalului CT (codificare DER pentru structura SubjectPublicKeyInfo ASN.1).

  • Intervalul MMD al jurnalului.

  • Intervalul de expirare a certificatului din jurnal, fragmentat temporal, inclusiv:

    • valoarea end_exclusive în standardul ISO 8601 de dată și oră, în format UTC; și

    • valoarea start_inclusive în standardul ISO 8601 de dată și oră, în format UTC.

  • Informații de contact, inclusiv adresele de e-mail pentru două contacte de operații ale operatorului și două contacte de reprezentanță ale operatorului.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: