Программа проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple

В этой статье содержатся сведения о программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple и условиях участия в этой программе.

Целью данной программы является учреждение комплекта журналов регистрации прозрачности сертификатов, которым на платформах Apple доверено предоставление меток времени подписания сертификатов (SCT) для публично доверенных сертификатов аутентификации серверов по протоколу TLS.

Условия и требования программы

Для участия в программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple необходимо соответствовать следующим требованиям.

• Экземпляры журналов регистрации должны обеспечивать прозрачность сертификатов в соответствии с условиями процедуры RFC6962.

• В журнале регистрации не должно содержаться двух или более конфликтующих представлений дерева Меркла в разное время и/или для разных сторон.

• Максимальный период объединения (внесения в журнал регистрации) составляет 24 часа.

• Сертификат, для которого в течение максимального периода объединения была создана метка времени подписания, должен быть внесен в журнал регистрации.

• Экземпляр журнала регистрации должен обеспечивать уровень бесперебойности 99 % согласно требованиям Apple (по результатам тестирования, проведенного компанией Apple).

• Время простоя не должно превышать максимальный период объединения.

• Чтобы отследить соответствие журнала регистрации этим политикам, каждый журнал регистрации должен принимать корневые сертификаты, которые выданы центрами сертификации, утвержденными компанией Apple.

• В журналы регистрации должны быть внесены все выданные центрами сертификации корневые сертификаты, включенные в хранилище доверия Apple. В журнал регистрации можно вносить дополнительные корневые сертификаты, которые не включены в хранилище доверия Apple.

Рассмотрению подлежат не более трех проверенных или рабочих экземпляров журнала регистрации от каждого оператора. Для журналов регистрации без ограничений срока действия сертификатов экземпляр представлен в виде URL-адреса и ключа подписи. Для журналов регистрации с ограничениями срока действия сертификатов в качестве единого экземпляра считается комплект журналов регистрации с привязкой ко времени. Ниже представлен пример единого экземпляра журнала регистрации, рассчитанного четыре отрезка времени.

Журнал регистрации Loggy 2020 компании A: принимает сертификаты, срок действия которых заканчивается в период с 01.01.2020 (00:00:00, UTC) по 01.01.2021 (00:00:00, UTC) Журнал регистрации Loggy 2021 компании A: принимает сертификаты, срок действия которых заканчивается в период с 01.01.2021 (00:00:00, UTC) по 01.01.2022 (00:00:00, UTC) Журнал регистрации Loggy 2022 компании A: принимает сертификаты, срок действия которых заканчивается в период с 01.01.2022 (00:00:00, UTC) по 01.01.2023 (00:00:00, UTC) Журнал регистрации Loggy 2023 компании A: принимает сертификаты, срок действия которых заканчивается в период с 01.01.2023 (00:00:00, UTC) по 01.01.2024 (00:00:00, UTC)

Состояния журналов регистрации на платформах Apple

Журналы регистрации, используемые на платформах Apple, могут иметь одно из следующих состояний.

Ожидающий утверждения

Поступил запрос на внесение журнала регистрации в доверенный список Apple, но он еще не принят. Ожидающий утверждения журнал регистрации не значится как «утвержденный в настоящее время» или «однажды утвержденный».

Утвержденный

Журнал регистрации включен в программу Apple и ожидает начала использования на платформах Apple. Утвержденный журнал регистрации значится как «утвержденный в настоящее время».

Пригодный для пользования

Метки времени подписания сертификатов из журнала регистрации гарантируют их соответствие политике Apple в отношении прозрачности клиентских сертификатов. Пригодный для пользования журнал регистрации значится как «утвержденный в настоящее время». Состояние журнала регистрации изменяется с «Утвержденный» на «Пригодный для пользования» минимум через 74 дня.

Только чтение

Журнал регистрации считается доверенным на платформах Apple, но доступен только для чтения, т. е. он больше не принимает заявки в отношении сертификатов. Доступный только для чтения журнал регистрации значится как «утвержденный в настоящее время».

Списанный

Журнал регистрации являлся доверенным на платформах Apple до определенной метки времени списания. Списанный журнал регистрации значится как «однажды утвержденный», если метка времени его подписания была зарегистрирована до наступления времени его списания. Списанный журнал регистрации не значится как «утвержденный в настоящее время».

Отклоненный

Журнал регистрации не является и не будет являться доверенным на платформах Apple. Отклоненный журнал регистрации не значится как «утвержденный в настоящее время» или «однажды утвержденный».

Процесс рассмотрения журнала

После включения журнала регистрации в программу проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple он в течение 90 дней проходит соответствующую проверку. В течение этого периода журнал регистрации имеет состояние «Ожидающий утверждения».

Компания Apple может на свое усмотрение отклонить любой журнал регистрации. В этом случае состояние журнала регистрации меняется на «Отклоненный». Если в течение периода проверки компания Apple не выявляет никаких проблем, журнал может быть принят, в результате чего его состояние меняется на «Утвержденный».

Компания Apple постоянно проверяет журнал регистрации на предмет его соответствия условиям программы. В течение этого периода журнал регистрации может иметь состояние «Утвержденный», «Пригодный для пользования», «Только чтение» или «Списанный».

Журнал регистрации в любой момент может быть списан на усмотрение компании Apple или в результате его несоответствия условиям программы. В этом случае его состояние меняется на «Списанный».

Подача заявки на участие в программе

Чтобы подать заявку на участие в программе проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от Apple, напишите на адрес электронной почты certificate-transparency-program@group.apple.com, указав следующие сведения.

• Описание журнала регистрации

• Политика принятия сертификатов, включая список корневых сертификатов, принятых по уникальному имени субъекта и отпечатку SHA256

• Политика отклонения сертификатов

• Максимальный период объединения для журнала регистрации

• Контактные данные, включая адреса электронной почты и номера телефонов контактных лиц оператора (двух технических специалистов и двух представителей)

• URL-адрес (HTTP) общедоступного сервера для журналов регистрации прозрачности сертификатов

• Общедоступный ключ для журналов регистрации прозрачности сертификатов (с кодировкой DER структуры ASN.1 (SubjectPublicKeyInfo))