Program protokolov transparentnosti certifikátov spoločnosti Apple

Oboznámte sa so zásadami programu protokolov transparentnosti certifikátov spoločnosti Apple a prečítajte si, ako požiadať o zaradenie do programu.

Cieľom programu protokolov transparentnosti certifikátov (CT) spoločnosti Apple je vytvoriť skupinu protokolov transparentnosti certifikátov, ktoré budú platformy spoločnosti Apple považovať za dôveryhodné a z ktorých budú preberať podpísané časové značky certifikátu (SCT). Tieto časové značky sa používajú vo verejných dôveryhodných certifikátoch na overovanie serverov TLS.

Zásady a požiadavky programu

Ak sa chcete zapojiť do programu protokolov transparentnosti certifikátov spoločnosti Apple, vaše protokoly musia spĺňať všetky nasledujúce požiadavky:

• Inštancie protokolov musia mať implementovanú transparentnosť certifikátov, ako je to uvedené v dokumente RFC6962.

• Protokol nesmie v rôznych okamihoch alebo rôznym stranám predkladať dve alebo viaceré kolidujúce zobrazenia hašovacieho stromu (Merkle Tree).

• Maximálne oneskorenie pred zlúčením (MMD) pre protokoly je 24 hodín.

• Protokol musí obsahovať certifikát o tom, že pred uplynutím lehoty MMD bola vytvorená podpísaná časová značka certifikátu (SCT).

• Všetky inštancie protokolu musia spĺňať požiadavku spoločnosti Apple na 99 % dostupnosť (podľa merania spoločnosti Apple).

• Žiadny výpadok protokolu nesmie trvať dlhšie ako lehota MMD.

• Protokol musí akceptovať certifikáty vydané koreňovou certifikačnou autoritou spoločnosti Apple, ktoré monitorujú, či protokol vyhovuje týmto zásadám.

• Protokol musí dôverovať všetkým certifikátom koreňových certifikačných autorít uvedeným v priestore Trust Store spoločnosti Apple. Protokol môže dôverovať aj ďalším koreňovým autoritám, ktoré nemusia byť uvedené v Trust Store spoločnosti Apple.

Na jedného operátora sú povolené maximálne tri vyhovujúce alebo použiteľné inštancie protokolu. V prípade protokolov bez obmedzení platnosti certifikátu sa za jednu inštanciu považuje adresa URL s kľúčom na podpísanie protokolu. V prípade protokolov s obmedzeniami platnosti certifikátu sa za jednu inštanciu považuje skupina protokolov s časovými úsekmi („time shards“). Nižšie je uvedený príklad jednej inštancie protokolu so štyrmi časovými úsekmi:

Protokol „Loggy 2020“ spoločnosti A: akceptuje certifikáty, ktorých platnosť uplynie medzi 2020-01-01 00:00:00 UTC a 2021-01-01 00:00:00 UTC Protokol „Loggy 2021“ spoločnosti A: akceptuje certifikáty, ktorých platnosť uplynie medzi 2021-01-01 00:00:00 UTC a 2022-01-01 00:00:00 UTC Protokol „Loggy 2022“ spoločnosti A: akceptuje certifikáty, ktorých platnosť uplynie medzi 2022-01-01 00:00:00 UTC a 2023-01-01 00:00:00 UTC Protokol „Loggy 2023“ spoločnosti A: akceptuje certifikáty, ktorých platnosť uplynie medzi 2023-01-01 00:00:00 UTC a 2024-01-01 00:00:00 UTC

Stavy protokolov na platformách spoločnosti Apple

Protokoly zahrnuté do platforiem spoločnosti Apple môžu mať niektorý z nasledujúcich stavov:

Čaká na schválenie

K protokolu bola podaná žiadosť o zaradenie do zoznamu dôveryhodných protokolov spoločnosti Apple, ale zatiaľ nebola schválená. Čakajúci protokol sa nepočíta ako „momentálne vyhovujúci“ ani „predtým vyhovujúci“.

Vyhovujúci

Protokol bol prijatý do programu spoločnosti Apple a možno ho distribuovať v rámci jej platforiem. Vyhovujúci protokol sa počíta ako „momentálne vyhovujúci“.

Použiteľný

V prípade podpísaných časových značiek certifikátu z tohto protokolu sa možno spoľahnúť, že spĺňajú zásady spoločnosti Apple týkajúce sa transparentnosti klientskych certifikátov. Použiteľný protokol sa počíta ako „momentálne vyhovujúci“. Protokoly prechádzajú do použiteľného stavu po uplynutí minimálne 74 dní vo vyhovujúcom stave.

Iba na čítanie

Protokol sa na platformách spoločnosti Apple považuje za dôveryhodný, ale je v režime iba na čítanie – to znamená, že prestal akceptovať nové certifikáty. Protokol iba na čítanie sa počíta ako „momentálne vyhovujúci“.

Vyradený

Protokol sa na platformách Apple považoval za dôveryhodný do uplynutia príslušnej časovej značky vyradenia. Vyradený protokol sa počíta ako „predtým vyhovujúci“ v prípade, že príslušná podpísaná časová značka certifikátu bola vydaná pred časovou značkou vyradenia. Vyradený protokol sa nepočíta ako „momentálne vyhovujúci“.

Zamietnutý

Tento protokol sa na platformách spoločnosti Apple nepovažuje za dôveryhodný ani sa mu dôverovať nebude. Zamietnutý protokol sa nepočíta ako „momentálne vyhovujúci“ ani „predtým vyhovujúci“.

Proces zaradenia

Po prijatí protokolu do programu protokolov transparentnosti certifikátov spoločnosti Apple začne 90-dňové monitorovacie obdobie, počas ktorého sa kontroluje, či protokol vyhovuje zásadám spoločnosti Apple. Počas tohto obdobia je protokol v stave „čaká na schválenie“.

Spoločnosť Apple môže na základe vlastného uváženia odmietnuť akýkoľvek protokol. V takom prípade sa stav protokolu zmení na „zamietnutý“. Ak spoločnosť Apple nezistí počas monitorovacieho obdobia žiadne problémy, protokol môže byť schválený – vtedy sa jeho stav zmení na „vyhovujúci“.

Spoločnosť Apple bude priebežne monitorovať, či protokol spĺňa zásady programu protokolov. Počas tohto obdobia sa protokol môže nachádzať v stave „vyhovujúci“, „použiteľný“, „iba na čítanie“ alebo „vyradený“.

Protokol môže byť kedykoľvek vyradený na základe vlastného uváženia spoločnosti Apple alebo z dôvodu nesplnenia zásad programu protokolov. V takom prípade sa jeho stav zmení na „vyradený“.

Požiadanie o zaradenie

Ak chcete požiadať o zaradenie do programu protokolov CT spoločnosti Apple, pošlite nám e-mail na adresu certificate-transparency-program@group.apple.com a uveďte v ňom nasledujúce informácie:

• Popis protokolu.

• Zásady akceptovania certifikátov vrátane zoznamu akceptovaných koreňových certifikátov. Pri každom subjekte musí byť uvedený názov domény a odtlačok SHA256.

• Zásady odmietania protokolovacích certifikátov.

• Lehota MMD protokolu.

• Kontaktné údaje vrátane e-mailových adries a telefónnych čísel dvoch prevádzkových kontaktov operátora a dvoch konateľov operátora.

• Verejne dostupná adresa URL (HTTP) servera protokolov CT.

• Verejný kľúč pre protokoly CT (kódovanie DER v štruktúre SubjectPublicKeyInfo ASN.1).