โครงการบันทึกความโปร่งใสของใบรับรองของ Apple

ดูข้อมูลเกี่ยวกับนโยบายของโครงการบันทึกความโปร่งใสของใบรับรองของ Apple และวิธีสมัครเข้าร่วม

จุดมุ่งหมายของโครงการบันทึกความโปร่งใสของใบรับรองของ Apple คือการสร้างชุดบันทึกความโปร่งใสของใบรับรอง (CT) ที่เชื่อถือได้บนแพลตฟอร์มต่างๆ ของ Apple เพื่อมอบตราประทับเวลาใบรับรองที่ลงชื่อแล้ว (SCT) ให้แก่ใบรับรองการรับรองความถูกต้องเซิร์ฟเวอร์ TLS ที่เชื่อถือได้และเปิดเผยสู่สาธารณะ

นโยบายและข้อกำหนดของโครงการ

หากต้องการให้บันทึกได้รับพิจารณาเข้าร่วมในโครงการบันทึกความโปร่งใสของใบรับรองของ Apple บันทึกนั้นจะต้องเป็นไปตามข้อกำหนดต่อไปนี้

  • อินสแตนซ์ของบันทึกต้องปฏิบัติตาม CT ที่กำหนดโดย RFC6962
  • บันทึกต้องไม่แสดงภาพต้นไม้แฮชที่ขัดแย้งกันตั้งแต่สองภาพขึ้นไปในช่วงเวลาที่ต่างกันและ/หรือกับฝ่ายที่ต่างกัน
  • ความล่าช้าสูงสุดในการรวมเข้า (MMD) ของบันทึกคือ 24 ชั่วโมง
  • บันทึกต้องเพิ่มใบรับรองที่มี SCT ที่สร้างขึ้นภายใน MMD
  • อินสแตนซ์ของบันทึกต้องมีเวลาในการทำงานต่อเนื่องที่ 99% ตามข้อกำหนดของ Apple ดังที่วัดผลโดย Apple
  • บันทึกต้องไม่หยุดทำงานเกินกว่า MMD
  • บันทึกต้องยอมรับใบรับรองที่ออกโดย Root CA ที่เป็นไปตามมาตรฐานของ Apple เพื่อตรวจสอบว่าบันทึกดังกล่าวเป็นไปตามนโยบายเหล่านี้
  • บันทึกต้องเชื่อถือใบรับรอง Root CA ทั้งหมดที่ระบุไว้ในร้านที่เชื่อถือได้ของ Apple บันทึกสามารถเชื่อถือ Root อื่นๆ นอกเหนือจากที่ระบุไว้ในร้านที่เชื่อถือได้ของ Apple

ระบบอนุญาตให้มีอินสแตนซ์ของบันทึกที่มีคุณสมบัติเหมาะสมหรือสามารถใช้งานได้สูงสุดสามรายการต่อตัวดำเนินการ สำหรับบันทึกที่ไม่มีการจำกัดวันหมดอายุของใบรับรอง อินสแตนซ์จะแสดงแทนด้วย URL และคีย์ที่ใช้ลงชื่อกำกับบันทึก สำหรับบันทึกที่มีการจำกัดวันหมดอายุของใบรับรอง ชุดบันทึกที่มีการแบ่งเวลาออกเป็นช่วงๆ จะนับเป็นอินสแตนซ์เดียว ต่อไปนี้คือตัวอย่างของอินสแตนซ์แบบบันทึกเดียวที่มีสี่ช่วงเวลา

บันทึก 'Loggy 2020' ของบริษัท A: ยอมรับใบรับรองที่หมดอายุระหว่าง 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC
บันทึก 'Loggy 2021' ของบริษัท A: ยอมรับใบรับรองที่หมดอายุระหว่าง 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC
บันทึก 'Loggy 2022' ของบริษัท A: ยอมรับใบรับรองที่หมดอายุระหว่าง 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC
บันทึก 'Loggy 2023' ของบริษัท A: ยอมรับใบรับรองที่หมดอายุระหว่าง 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

สถานะของบันทึกบนแพลตฟอร์มต่างๆ ของ Apple

บันทึกที่เป็นส่วนหนึ่งบนแพลตฟอร์มต่างๆ ของ Apple อาจมีสถานะใดสถานะหนึ่งต่อไปนี้

รอดำเนินการ
บันทึกดังกล่าวได้ขอเข้าร่วมในรายการบันทึกที่เชื่อถือได้ของ Apple แต่ยังไม่ได้รับการยอมรับ บันทึกที่รอดำเนินการจะไม่นับเป็น "มีคุณสมบัติเหมาะสม" หรือ "เคยมีคุณสมบัติเหมาะสม"

มีคุณสมบัติเหมาะสม
บันทึกดังกล่าวได้รับการยอมรับให้เข้าร่วมในโครงการของ Apple และได้รับการตั้งค่าสำหรับเผยแพร่ในแพลตฟอร์มต่างๆ ของ Apple บันทึกที่มีคุณสมบัติเหมาะสมจะนับเป็น "มีคุณสมบัติเหมาะสม"

ใช้งานได้
สามารถใช้ SCT จากบันทึกเพื่อให้เป็นไปตามนโยบาย CT ไคลเอนต์ของ Apple บันทึกที่ใช้งานได้จะนับเป็น "มีคุณสมบัติเหมาะสม" บันทึกจะเปลี่ยนสถานะจากมีคุณสมบัติเหมาะสมเป็นใช้งานได้หลังจากอยู่ในสถานะมีคุณสมบัติเหมาะสมอย่างน้อย 74 วัน

อ่านอย่างเดียว
บันทึกดังกล่าวเป็นบันทึกที่เชื่อถือได้บนแพลตฟอร์มต่างๆ ของ Apple แต่สามารถอ่านได้เพียงอย่างเดียว กล่าวคือบันทึกนั้นได้ยุติการยอมรับการส่งใบรับรองแล้ว บันทึกแบบอ่านอย่างเดียวจะนับเป็น "มีคุณสมบัติเหมาะสม"

เลิกใช้แล้ว
บันทึกดังกล่าวจะเชื่อถือได้บนแพลตฟอร์มต่างๆ ของ Apple จนกระทั่งถึงเวลาที่ระบุในตราประทับเวลาเลิกใช้งาน บันทึกที่เลิกใช้แล้วจะนับเป็น "เคยมีคุณสมบัติเหมาะสม" หากระบบออก SCT ดังกล่าวก่อนเวลาที่ระบุในตราประทับเวลาเลิกใช้งาน บันทึกที่เลิกใช้แล้วจะไม่นับเป็น "มีคุณสมบัติเหมาะสม"

ถูกปฏิเสธ
บันทึกจะไม่ได้รับการเชื่อถือบนแพลตฟอร์มต่างๆ ของ Apple บันทึกที่ถูกปฏิเสธจะไม่นับเป็น "มีคุณสมบัติเหมาะสม" หรือ "เคยมีคุณสมบัติเหมาะสม"

ขั้นตอนการเข้าร่วม

หลังจากที่บันทึกได้รับการยอมรับให้เข้าร่วมในโครงการบันทึกความโปร่งใสของใบรับรองของ Apple บันทึกดังกล่าวจะได้รับการตรวจสอบว่าเป็นไปตามนโยบายของ Apple เป็นระยะเวลา 90 วัน ระหว่างนี้ บันทึกจะมีสถานะเป็น "รอดำเนินการ"

Apple สามารถปฏิเสธบันทึกใดๆ ตามดุลยพินิจของ Apple หากถูกปฏิเสธ สถานะของบันทึกจะกลายเป็น "ถูกปฏิเสธ" หาก Apple ไม่พบปัญหาใดๆ ขณะที่ตรวจสอบ บันทึกจะได้รับการยอมรับ และเปลี่ยนสถานะเป็น "มีคุณสมบัติเหมาะสม"

Apple จะตรวจสอบอย่างต่อเนื่องว่าบันทึกเป็นไปตามนโยบายของโครงการบันทึก สถานะของบันทึกในช่วงดังกล่าวอาจเป็น "มีคุณสมบัติเหมาะสม" "ใช้งานได้" "อ่านอย่างเดียว" หรือ "เลิกใช้แล้ว"

บันทึกอาจถูกเลิกใช้ได้ทุกเมื่อ หาก Apple เห็นสมควร หรือเป็นผลจากการที่บันทึกนั้นไม่เป็นไปตามนโยบายของโครงการบันทึก จากนั้น สถานะของบันทึกจะเปลี่ยนเป็น "เลิกใช้แล้ว"

สมัครเพื่อเข้าร่วม

หากต้องการสมัครเพื่อเข้าร่วมโครงการบันทึก CT ของ Apple โปรดส่งอีเมลมาที่certificate-transparency-program@group.apple.com พร้อมข้อมูลต่อไปนี้

  • รายละเอียดของบันทึก
  • นโยบายในการยอมรับใบรับรอง ซึ่งรวมถึงรายการของใบรับรอง Root ที่ยอมรับโดย Subject DN และลายนิ้วมือ SHA256
  • นโยบายในการปฏิเสธใบรับรองสำหรับการบันทึก
  • MMD ของบันทึก
  • ข้อมูลติดต่อ ซึ่งรวมถึงอีเมลและหมายเลขโทรศัพท์ของผู้ปฏิบัติงานสองราย และตัวแทนผู้ปฏิบัติงานสองราย
  • URL เซิร์ฟเวอร์บันทึก CT ที่เข้าถึงได้แบบสาธารณะ (HTTP)
  • คีย์สาธารณะบันทึก CT (DER ที่เข้ารหัสด้วยโครงสร้าง SubjectPublicKeyInfo ASN.1)

ข้อมูลเกี่ยวกับผลิตภัณฑ์ที่ไม่ได้ผลิตโดย Apple หรือเว็บไซต์อิสระที่ไม่ได้ควบคุมหรือทดสอบโดย Apple มีให้โดยไม่มีคำแนะนำหรือการรับรองใดๆ Apple ไม่ขอรับผิดชอบในส่วนที่เกี่ยวกับการเลือก ประสิทธิภาพ หรือการใช้งานเว็บไซต์หรือผลิตภัณฑ์ของบริษัทอื่น Apple ไม่รับรองความถูกต้องหรือความน่าเชื่อถือของเว็บไซต์ของบริษัทอื่น ความเสี่ยงต่างๆ ในการใช้งานอินเทอร์เน็ตถือเป็นเรื่องปกติที่เกิดขึ้นได้ ติดต่อผู้จำหน่ายสำหรับข้อมูลเพิ่มเติม ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นอาจเป็นเครื่องหมายการค้าของเจ้าของแต่ละราย

วันที่เผยแพร่: