Program protokolov transparentnosti certifikátov spoločnosti Apple

OBOZNÁMTE SA SO ZÁSADAMI PROGRAMU PROTOKOLOV TRANSPARENTNOSTI CERTIFIKÁTOV SPOLOČNOSTI APPLE A PREČÍTAJTE SI, AKO POŽIADAŤ O ZARADENIE DO PROGRAMU.

Cieľom programu protokolov transparentnosti certifikátov (CT) spoločnosti Apple je vytvoriť skupinu protokolov transparentnosti certifikátov, ktoré budú platformy spoločnosti Apple považovať za dôveryhodné a z ktorých budú preberať podpísané časové značky certifikátu. Tieto časové značky sa používajú vo verejných dôveryhodných certifikátoch na overovanie serverov TLS.

Zásady a požiadavky programu

RFC 6962

Aby protokol transparentnosti certifikátov zodpovedajúci štandardu RFC 6962 bolo možné zahrnúť do programu protokolov transparentnosti certifikátov spoločnosti Apple, musí spĺňať tieto požiadavky:

  • Implementuje transparentnosť certifikátov podľa špecifikácie v rámci štandardu RFC 6962.

  • V rôznych okamihoch alebo rôznym stranám nepredkladá dve alebo viaceré kolidujúce zobrazenia hašovacieho stromu (Merkle Tree).

  • Spĺňa požiadavku spoločnosti Apple na 99 % mieru dostupnosti.

  • Nešpecifikuje maximálne oneskorenie zlúčenia (MMD), ktoré presahuje 24 hodín.

  • Obsahuje certifikát o tom, že pred uplynutím lehoty MMD bola vytvorená podpísaná časová značka certifikátu.

  • Považuje za dôveryhodné všetky certifikáty koreňových certifikačných autorít, ktoré sú súčasťou priestoru Trust Store spoločnosti Apple.

    • Protokoly môžu za dôveryhodné považovať koreňové položky, ktoré nie sú súčasťou priestoru Trust Store spoločnosti Apple.

Protokol vyhovujúci štandardu RFC 6962 sa môže správať takto:

  • Odmieta certifikáty, ktorým vypršala platnosť.

  • Odmieta zrušené certifikáty.

  • Odmieta listové certifikáty, ktoré neobsahujú identifikátor EKU (Extended Key Usage) id-kp-serverAuth.

STATIC-CT-API

Aby protokol transparentnosti certifikátov zodpovedajúci špecifikácii C2SP static-ct-api bolo možné zahrnúť do programu protokolov transparentnosti certifikátov spoločnosti Apple, musí spĺňať tieto požiadavky:

  • Implementuje transparentnosť certifikátov podľa špecifikácie rozhrania API Static Certificate Transparency, verzia 1.0.0.

  • V rôznych okamihoch alebo rôznym stranám nepredkladá dve alebo viaceré kolidujúce zobrazenia hašovacieho stromu (Merkle Tree).

  • Spĺňa požiadavku spoločnosti Apple na 99 % mieru dostupnosti.

  • Nešpecifikuje maximálne oneskorenie zlúčenia (MMD), ktoré presahuje 1 minútu.

  • Obsahuje certifikát o tom, že pred uplynutím lehoty MMD bola vytvorená podpísaná časová značka certifikátu.

  • Považuje za dôveryhodné všetky certifikáty koreňových certifikačných autorít, ktoré sú súčasťou priestoru Trust Store spoločnosti Apple.

    • Protokoly môžu za dôveryhodné považovať koreňové položky, ktoré nie sú súčasťou priestoru Trust Store spoločnosti Apple.

Protokol zodpovedajúci špecifikácii C2SP static-ct-api sa môže správať takto:

  • Odmieta certifikáty, ktorým vypršala platnosť.

  • Odmieta zrušené certifikáty.

  • Odmieta listové certifikáty, ktoré neobsahujú identifikátor EKU (Extended Key Usage) id-kp-serverAuth.

Stavy protokolov na platformách spoločnosti Apple

Protokoly zahrnuté do platforiem spoločnosti Apple môžu mať niektorý z nasledujúcich stavov:

Čaká na schválenie

K protokolu bola podaná žiadosť o zaradenie do zoznamu dôveryhodných protokolov spoločnosti Apple, ale zatiaľ nebola schválená. Čakajúci protokol sa nepočíta ako „momentálne vyhovujúci“ ani „predtým vyhovujúci“.

Vyhovujúci

Protokol bol prijatý do programu spoločnosti Apple a možno ho distribuovať v rámci jej platforiem. Vyhovujúci protokol sa počíta ako „momentálne vyhovujúci“.

Použiteľný

V prípade podpísaných časových značiek certifikátu z tohto protokolu sa možno spoľahnúť, že spĺňajú zásady spoločnosti Apple týkajúce sa transparentnosti klientskych certifikátov. Použiteľný protokol sa počíta ako „momentálne vyhovujúci“. Protokoly prechádzajú do použiteľného stavu po uplynutí minimálne 74 dní vo vyhovujúcom stave.

Iba na čítanie

Protokol sa na platformách spoločnosti Apple považuje za dôveryhodný, ale je v režime iba na čítanie – to znamená, že prestal akceptovať nové certifikáty. Protokol iba na čítanie sa počíta ako „momentálne vyhovujúci“.

Vyradený

Protokol sa na platformách Apple považoval za dôveryhodný do uplynutia príslušnej časovej značky vyradenia. Vyradený protokol sa počíta ako „predtým vyhovujúci“ v prípade, že príslušná podpísaná časová značka certifikátu bola vydaná pred časovou značkou vyradenia. Vyradený protokol sa nepočíta ako „momentálne vyhovujúci“.

Zamietnutý

Tento protokol sa na platformách spoločnosti Apple nepovažuje za dôveryhodný ani sa mu dôverovať nebude. Zamietnutý protokol sa nepočíta ako „momentálne vyhovujúci“ ani „predtým vyhovujúci“.

Proces zaradenia

Po prijatí protokolu do programu protokolov transparentnosti certifikátov spoločnosti Apple začne monitorovacie obdobie, počas ktorého sa kontroluje, či protokol vyhovuje zásadám spoločnosti Apple. Počas tohto obdobia je protokol v stave „čaká na schválenie“.

Spoločnosť Apple môže na základe vlastného uváženia odmietnuť akýkoľvek protokol. V takom prípade sa stav protokol zmení na „odmietnutý“. Ak spoločnosť Apple nezistí počas monitorovacieho obdobia žiadne problémy, protokol môže byť schválený – vtedy sa jeho stav zmení na „vyhovujúci“.

Spoločnosť Apple bude priebežne monitorovať, či protokol spĺňa zásady programu protokolov. Počas tohto obdobia sa protokol môže nachádzať v stave „vyhovujúci“, „použiteľný“, „iba na čítanie“ alebo „vyradený“.

Protokol môže byť kedykoľvek vyradený na základe vlastného uváženia spoločnosti Apple alebo z dôvodu nesplnenia zásad programu protokolov. V takom prípade sa jeho stav zmení na „vyradený“.

Požiadanie o zaradenie

Ak chcete požiadať o zaradenie do programu protokolov transparentnosti certifikátov spoločnosti Apple, pošlite e-mail na adresu certificate-transparency-program@group.apple.com a uveďte v ňom nasledujúce informácie:

  • Popis protokolu vrátane nasledujúcich údajov:

    • zásady prijímania certifikátov, ak existujú;

    • zásady odmietania certifikátov na protokolovanie, ak existujú;

    • zoznam akceptovaných koreňových certifikátov podľa predmetu DN a odtlačku SHA256; a

    • špecifikácia (RFC 6962 alebo static-ct-api), ktorej protokol zodpovedá.

  • Verejne prístupná adresa URL (HTTP) servera protokolov transparentnosti certifikátov.

  • Verejný kľúč protokolu (kódovanie DER v štruktúre SubjectPublicKeyInfo ASN.1).

  • Lehota MMD protokolu.

  • Rozsah platnosti dočasne rozdeleného certifikátu pre protokol, ktorý obsahuje tieto údaje:

    • hodnota end_exclusive vo formáte dátumu a času UTC podľa normy ISO 8601; a

    • hodnota start_inclusive vo formáte dátumu a času UTC podľa normy ISO 8601.

  • Kontaktné údaje vrátane e-mailových adries dvoch prevádzkových kontaktov operátora a dvoch konateľov operátora.

Informácie o produktoch, ktoré nevyrába spoločnosť Apple, alebo nezávislých webových stránkach, ktoré nekontroluje ani netestuje spoločnosť Apple, sa poskytujú bez akéhokoľvek odporúčania či podpory. Spoločnosť Apple nenesie žiadnu zodpovednosť v súvislosti s výberom, výkonom alebo používaním webových stránok alebo produktov tretích strán. Spoločnosť Apple neposkytuje žiadne vyhlásenia týkajúce sa presnosti či spoľahlivosti webových stránok tretích strán. Ak chcete získať ďalšie informácie, obráťte sa na dodávateľa.

Dátum zverejnenia: