Программа проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple

В ЭТОЙ СТАТЬЕ СОДЕРЖАТСЯ СВЕДЕНИЯ О ПРОГРАММЕ ПРОВЕРКИ ЖУРНАЛОВ РЕГИСТРАЦИИ НА ПРЕДМЕТ СООТВЕТСТВИЯ ПОЛИТИКЕ ПРОЗРАЧНОСТИ СЕРТИФИКАТОВ ОТ КОМПАНИИ APPLE И УСЛОВИЯХ УЧАСТИЯ В ЭТОЙ ПРОГРАММЕ.

Цель данной программы — составить перечень журналов регистрации прозрачности сертификатов (CT), от которых платформы Apple будут принимать метки времени подписания сертификатов (SCT) для доверенных сертификатов аутентификации серверов по протоколу TLS.

Условия и требования программы

RFC 6962

Чтобы участвовать в программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple, журнал, соответствующий требованиям RFC 6962, должен:

  • реализовать CT, как указано в RFC 6962;

  • не содержать двух или более конфликтующих представлений дерева Меркла в разное время и/или для разных сторон;

  • быть доступным в течение 99% времени по замерам Apple;

  • не использовать максимальную задержку слияния (MMD) более 24 часов;

  • включать сертификат, для которого он создал SCT в рамках MMD;

  • доверять всем корневым сертификатам ЦС, включенным в хранилище доверия Apple.

    • Журналы могут доверять корневым сертификатам, не включенным в хранилище доверия Apple.

Журнал, соответствующий RFC 6962, может:

  • отклонять просроченные сертификаты;

  • отклонять отозванные сертификаты;

  • отклонять листовые сертификаты, которые не содержат id-kp-serverAuth в расширении Extended Key Usage (EKU).

    • Операторы журналов обязаны предоставлять письменное уведомление о любых изменениях в типах принимаемых листовых сертификатов по адресу certificate-transparency-program@group.apple.com не менее чем за 45 дней до внесения изменений.

STATIC-CT-API

Чтобы участвовать в программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple, журнал, соответствующий спецификации static-ct-api от C2SP, должен:

  • реализовать CT, как указано в API прозрачности статических сертификатов версии 1.0.0;

  • не содержать двух или более конфликтующих представлений дерева Меркла в разное время и/или для разных сторон;

  • быть доступным в течение 99% времени по замерам Apple;

  • не использовать максимальную задержку слияния (MMD) более 1 минуты;

  • включать сертификат, для которого он создал SCT в рамках MMD;

  • доверять всем корневым сертификатам ЦС, включенным в хранилище доверия Apple.

    • Журналы могут доверять корневым сертификатам, не включенным в хранилище доверия Apple.

Журнал, соответствующий спецификации static-ct-api от C2SP, может:

  • отклонять просроченные сертификаты;

  • отклонять отозванные сертификаты;

  • отклонять листовые сертификаты, которые не содержат id-kp-serverAuth в расширении Extended Key Usage (EKU).

    • Операторы журналов обязаны предоставлять письменное уведомление о любых изменениях в типах принимаемых листовых сертификатов по адресу certificate-transparency-program@group.apple.com не менее чем за 45 дней до внесения изменений.

Состояния журналов регистрации на платформах Apple

Журналы регистрации, используемые на платформах Apple, могут иметь одно из следующих состояний.

Ожидающий утверждения

Поступил запрос на внесение журнала регистрации в доверенный список Apple, но он еще не принят. Ожидающий утверждения журнал регистрации не входит в категории «утвержденный в настоящее время» или «однажды утвержденный».

Утвержденный

Журнал регистрации включен в программу Apple и ожидает начала использования на платформах Apple. Утвержденный журнал регистрации входит в категорию «утвержденный в настоящее время».

Пригодный для пользования

Метки времени подписания сертификатов из журнала регистрации гарантируют их соответствие политике Apple в отношении прозрачности клиентских сертификатов. Пригодный для пользования журнал регистрации входит в категорию «утвержденный в настоящее время». Состояние журнала регистрации изменяется с «Утвержденный» на «Пригодный для пользования» минимум через 74 дня.

Только для чтения

Журнал регистрации считается доверенным на платформах Apple, но доступен только для чтения, т. е. он больше не принимает заявки в отношении сертификатов. Журнал регистрации, предназначенный только для чтения, входит в категорию «утвержденный в настоящее время».

Списанный

Журнал регистрации являлся доверенным на платформах Apple до определенной метки времени списания. Списанный журнал регистрации входит в категорию «однажды утвержденный», если метка времени его подписания была зарегистрирована до наступления времени его списания. Списанный журнал регистрации не входит в категорию «утвержденный в настоящее время».

Отклоненный

Журнал регистрации не является и не будет являться доверенным на платформах Apple. Отклоненный журнал регистрации не входит в категории «утвержденный в настоящее время» или «однажды утвержденный».

Процесс рассмотрения журнала

После включения журнала регистрации в программу проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple он проходит соответствующую проверку в течение периода мониторинга. В течение этого периода журнал регистрации имеет состояние «Ожидающий утверждения».

Компания Apple может на свое усмотрение отклонить любой журнал регистрации. В этом случае состояние журнала регистрации меняется на «Отклоненный». Если в течение периода проверки компания Apple не выявляет никаких проблем, журнал может быть принят, в результате чего его состояние меняется на «Утвержденный».

Компания Apple постоянно проверяет журнал регистрации на предмет его соответствия условиям программы. В течение этого периода журнал регистрации может иметь состояние «Утвержденный», «Пригодный для пользования», «Только для чтения» или «Списанный».

Журнал регистрации в любой момент может быть списан на усмотрение компании Apple или в результате его несоответствия условиям программы. В этом случае его состояние меняется на «Списанный».

Подача заявки на участие в программе

Чтобы подать заявку на участие в программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от Apple, напишите на адрес электронной почты certificate-transparency-program@group.apple.com, указав следующие сведения.

  • Описание журнала, в том числе:

    • политика приема сертификатов, если есть;

    • политика отклонения сертификатов для регистрации, если есть;

    • список принятых корневых сертификатов с различающимися именами субъектов и отпечатками SHA256; и

    • спецификация (RFC 6962 или static-ct-api), которой соответствует журнал.

  • URL-адрес (HTTP) общедоступного сервера для журналов регистрации прозрачности сертификатов.

  • Открытый ключ журнала (кодировка DER структуры SubjectPublicKeyInfo ASN.1).

  • Максимальный период объединения для журнала регистрации.

  • Диапазон истечения срока действия сертификата с временным шардированием в журнале, включая:

    • значение end_exclusive с указанием даты и времени по ISO 8601 в формате UTC; и

    • значение start_inclusive с указанием даты и времени по ISO 8601 в формате UTC.

  • Контактная информация, включая адреса электронной почты для двух контактных лиц оператора по техническим вопросам и еще двух по организационным вопросам.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: