Programul de jurnale CT (Certificate Transparency) Apple

Află mai multe despre politicile programului de jurnale CT (Certificate Transparency) Apple și modul de solicitare a includerii.

Obiectivul programului de jurnale CT (Certificate Transparency) Apple este stabilirea unui set de jurnale CT (Certificate Transparency) care sunt considerate de încredere pe platformele Apple în scopul furnizării de SCT-uri (Signed Certificate Timestamp) pentru certificate de autentificare a severelor TLS de încredere publică.

Politicile și cerințele programului

Pentru a fi luate în considerare în programul de jurnale CT (Certificate Transparency) Apple, jurnalele trebuie să îndeplinească toate cerințele următoare:

• Instanțierile de jurnale trebuie să implementeze CT așa cum este specificat de RFC6962.

• Un jurnal nu trebuie să prezinte două sau mai multe vederi în conflict ale arborelui Merkle la momente diferite și/sau la diferite părți.

• Intervalul MMD (Maximum Merge Delay) pentru jurnale este de 24 de ore.

• Un jurnal trebuie să încorporeze un certificat pe care l-a creat pentru un SCT în intervalul MMD.

• O instanțiere de jurnal trebuie să îndeplinească cerința Apple de disponibilitate de 99%, așa cum este aceasta măsurată de către Apple.

• Nicio întrerupere a jurnalului nu poate dura mai mult decât intervalul MMD.

• Un jurnal trebuie să accepte certificate care sunt emise de CA-ul rădăcină de conformitate Apple pentru a monitoriza conformitatea jurnalului cu aceste politici.

• Jurnalele trebuie să acorde încredere tuturor certificatelor CA rădăcină incluse în Trust Store-ul Apple. Jurnalelor li se permite să acorde încredere unor rădăcini suplimentare care este posibil să nu fie incluse în Trust Store Apple.

Sunt permise maximum trei instanțieri de jurnale calificate sau utilizabile per operator. Pentru jurnalele fără restricții de expirare a certificatului, o instanțiere este reprezentată de un URL și o cheie de semnare a jurnalului. Pentru jurnalele cu restricții de expirare a certificatului, un set de jurnale cu fragmentare în timp se consideră drept o singură instanțiere. Iată un exemplu de instanțiere cu un singur jurnal care rulează patru fragmente de timp:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Stările jurnalelor pe platforme Apple

Jurnalele incluse pe platforme Apple pot fi într-una dintre următoarele stări:

Pending (În așteptare)

Jurnalul a solicitat includerea în lista de jurnale de încredere Apple, însă nu a fost acceptat încă. Un jurnal în așteptare nu este considerat ca fiind „calificat în prezent” sau „o dată calificat”.

Qualified (Calificat)

Jurnalul a fost acceptat în programul Apple și este stabilit pentru distribuire pe platforme Apple. Un jurnal calificat este considerat ca fiind „calificat în prezent”.

Usable (Utilizabil)

SCTS-urile din jurnal pot fi folosite pentru a se conforma politicii CT a clienților Apple. Un jurnal utilizabil este considerat ca fiind „calificat în prezent”. Jurnalele trec de la starea „calificat” la starea „utilizabil” după o durată minimă de 74 de zile în starea „calificat”.

Read-only (Doar în citire)

Jurnalul este de încredere pe platforme Apple, însă sunt doar în citire – adică jurnalul a încetat să accepte trimiteri de certificate. Un jurnal numai pentru citire se consideră „calificat în prezent.”

Retras

Jurnalul a fost de încredere pe platforme Apple până la marcajul temporal de retragere specificat. Un jurnal retras este considerat ca fiind „o dată calificat” dacă SCT-ul în cauză a fost emis înainte de marcajul temporal de retragere. Un jurnal retras nu este considerat ca fiind „calificat în prezent”.

Rejected (Respins)

Jurnalul nu este și nu va fi considerat ca fiind de încredere pe platforme Apple. Un jurnal respins nu este considerat ca fiind „calificat în prezent” sau „o dată calificat”.

Procesul de includere

După ce un jurnal este acceptat în programul de jurnale CT (Certificate Transparency) Apple, o perioadă de monitorizare de 90 de zile verifică jurnalul pentru conformitate cu politica Apple. În acest interval de timp, starea jurnalului este „în așteptare”.

Apple poate respinge orice jurnal la discreția sa. Dacă se întâmplă acest lucru, starea jurnalului devine „respins”. Dacă Apple nu găsește probleme în timpul perioadei de monitorizare, jurnalul poate fi acceptat, moment în care starea jurnalului devine „calificat”.

Apple monitorizează jurnalul în mod continuu pentru conformitatea cu politicile programului de jurnalizare. Starea unui jurnal în acest interval de timp poate fi „calificat”, „utilizabil”, „doar în citire” sau „retras”.

Un jurnal poate fi retras oricând, la discreția Apple sau ca urmare a nerespectării politicilor programului de jurnale. Jurnalul trece apoi în starea „retras”.

Cererea de includere

Pentru a face o cerere de includere în programul de jurnale CT Apple, trimite un e-mail certificate-transparency-program@group.apple.com și include următoarele:

• Descrierea jurnalului

• Politica de acceptare a certificatelor, inclusiv o listă a certificatelor rădăcină acceptate prin Subject DN și amprenta SHA256

• Politica de respingere a certificatelor pentru jurnalizare

• Intervalul MMD al jurnalului

• Informații de contact, inclusiv adresele de e-mail și numerele de telefon pentru două contacte de operații ale operatorului și două contacte de reprezentanță ale operatorului

• URL-ul unui server de jurnale CT cu accesibilitate publică (HTTP)

• O cheie publică a jurnalului CT (codificare DER pentru structura SubjectPublicKeyInfo ASN.1)