Apples Certificate Transparency-loggprogram

LÄS MER OM RIKTLINJERNA FÖR APPLES CERTIFICATE TRANSPARENCY-LOGGPROGRAM OCH HUR DU ANSÖKER OM ATT BLI REGISTRERAD.

Målet med Apples Certificate Transparency-loggprogram är att etablera en uppsättning med Certificate Transparency-loggar (CT) som är betrodda på Apples plattformar för att kunna förse STC (Signed Certificate Timestamps) för officiellt betrodda TLS-serverautentiseringscertifikat.

Riktlinjer och krav för programmet

RFC 6962

För att ha en chans att gå med i Apples Certificate Transparency-loggprogram måste en logg som överensstämmer med RFC 6962 uppfylla följande krav:

• implementera CT enligt RFC 6962.

• den får inte uppvisa två eller flera motstridiga vyer av Merkle-trädet vid olika tidpunkter och/eller till olika parter.

• uppfylla Apples krav på drifttid på 99 %, enligt Apple.

• den får inte ange en maximal fördröjning för sammanslagning (MMD) som överskrider 24 timmar.

• införliva ett certifikat för vilket det har skapat en SCT inom MMD-tiden.

• lita på alla root CA-certifikat som ingår i Apples trust score.

  • Loggar kan lita på rötter som inte ingår i Apples trust score.

En logg som överensstämmer med RFC 6962 kan:

• avvisa utgångna certifikat.

• avvisa återkallade certifikat.

• avvisa lövcertifikat som inte innehåller id-kp-serverAuth Extended Key Usage (EKU).

  • Loggoperatörer måste skicka skriftlig information om ändringar av den accepterade uppsättningen lövcertifikat som deras logg inte accepterar minst 45 dagar i förväg till certificate-transparency-program@group.apple.com.

STATIC-CT-API

För att ha en chans att gå med i Apples Certificate Transparency-loggprogram måste en logg som överensstämmer med static-ct-api C2SP-specifikationen:

• implementera CT enligt Static Certificate Transparency API, v1.0.0.

• den får inte uppvisa två eller flera motstridiga vyer av Merkle-trädet vid olika tidpunkter och/eller till olika parter.

• uppfylla Apples krav på drifttid på 99 %, enligt Apple.

• den får inte ange en maximal fördröjning för sammanslagning (MMD) som överskrider 1 minut.

• införliva ett certifikat för vilket det har skapat en SCT inom MMD-tiden.

• lita på alla root CA-certifikat som ingår i Apples trust score.

  • Loggar kan lita på rötter som inte ingår i Apples trust score.

En logg som överensstämmer med specifikationen static-ct-api C2SP kan:

• avvisa utgångna certifikat.

• avvisa återkallade certifikat.

• avvisa lövcertifikat som inte innehåller id-kp-serverAuth Extended Key Usage (EKU).

  • Loggoperatörer måste skicka skriftlig information om ändringar av den accepterade uppsättningen lövcertifikat som deras logg inte accepterar minst 45 dagar i förväg till certificate-transparency-program@group.apple.com.

Loggarnas tillstånd på Apples plattformar

Loggar som finns på Apples plattformar kan vara i ett av följande tillstånd:

Väntande

Loggen har begärts bli inkluderad i Apples betrodda logglista men den har inte accepterats ännu. En väntande logg räknas inte som en ”just nu kvalificerad” eller ”tidigare kvalificerad”.

Kvalificerad

Loggen har antagits i Apples program och är satt för att distribueras till Apples plattformar. En kvalificerad logg räknas som ”just nu kvalificerad”.

Användbar

Det går att lita på att SCT:er från loggen uppfyller Apples CT-klientpolicy. En användbar logg räknas som ”just nu kvalificerad”. Loggar övergår från att vara kvalificerade till användbara när de har varit i tillståndet kvalificerade i minst 74 dagar.

Skrivskyddad

Loggen är betrodd på Apples plattformar men är skrivskyddad, vilket betyder att loggen inte längre tar emot inskickade certifikat. En skrivskyddad logg räknas som ”just nu kvalificerad”.

Tillbakadragen

Loggen var betrodd på Apples plattformar fram till den specifika tidsstämpeln för tillbakadragande. En tillbakadragen logg räknas som ”tidigare kvalificerad” om den berörda SCT:n utfärdades innan tidsstämpeln för tillbakadragande. En tillbakadragen logg räknas inte som "just nu kvalificerad".

Avvisad

Loggen varken är eller kommer bli betrodd på Apples plattformar. En avvisad logg räknas inte som en "just nu kvalificerad" eller "tidigare kvalificerad".

Registreringsprocess

När en logg har accepterats i Apples Certificate Transparency-loggprogram följer en övervakningsperiod för att se till att Apples riktlinjer efterlevs. Under den här perioden är loggens tillstånd "väntande".

Apple kan avvisa valfri log baserat på egen bedömning. Om det händer, blir loggens tillstånd "avvisad". Om Apple inte uppräcker några problem under övervakningsperioden kan loggen accepteras och tillståndet blir då "kvalificerad".

Apple övervakar loggen löpande för att se till att riktlinjerna för loggprogrammet efterlevs. Tillståndet för en logg under den här tiden vara ”kvalificerad”, ”användbar”, ”skrivskyddad” eller ”tillbakadragen”.

En logg kan dras tillbaka när som helst när Apple så bedömer det skäligt eller på grund av att riktlinjerna för loggprogrammet inte har efterlevts. Loggens tillstånd blir då "tillbakadragen".

Ansök om registrering

Ansök om registrering i Apples CT-loggprogram genom att mejla certificate-transparency-program@group.apple.com och ange följande:

• Loggens beskrivning, inklusive:

  • eventuell policy för att acceptera certifikat

  • eventuell policy för att avvisa certifikat för loggning

  • en lista över accepterade rotcertifikat genom Subject DN och SHA256-fingeravtryck

  • specifikationen (RFC 6962 eller static-ct-API) som loggen överensstämmer med.

• En publikt tillgänglig URL (HTTP) till CT-loggservern.

• En publik nyckel för loggen (DER-kodning av SubjectPublicKeyInfo ASN.1-struktur).

• Loggens MMD.

• Loggens temporärt fragmenterade förfallointervall för certifikat, inklusive:

  • end_exclusive värdet i ISO 8601 Datum och tid i UTC-format och

  • start_inclusive värdet i ISO 8601 Datum och tid i UTC-format.

• Kontaktuppgifter, inklusive e-postadress, till två verksamhetsansvariga och till två verksamhetsrepresentanter.