Apple'ın Sertifika Şeffaflığı günlük programı

APPLE'IN SERTİFİKA ŞEFFAFLIĞI GÜNLÜK PROGRAMIYLA İLGİLİ POLİTİKALAR VE KATILIM BAŞVURUSU YAPMA HAKKINDA BİLGİ EDİNİN.

Apple'ın Sertifika Şeffaflığı günlük programının amacı genel olarak güvenilen TLS sunucu kimlik doğrulama sertifikaları için İmzalanmış Sertifika Zaman Damgası (SCT'ler) sağlamak üzere, Apple platformlarında güvenilen bir dizi Sertifika Şeffaflığı (CT) günlüğü oluşturmaktır.

Program politikaları ve gereksinimleri

RFC 6962

Apple'ın Sertifika Şeffaflığı günlük programına dahil edilmek üzere değerlendirilmek için RFC 6962 ile uyumlu bir günlük:

  • RFC 6962 numaralı belgede belirtildiği şekilde CT'yi uygulamalıdır.

  • farklı zamanlarda ve/veya farklı taraflara, Merkle Ağacı'nın birbiriyle çelişen iki veya daha fazla görünümünü sunmamalıdır.

  • Apple tarafından ölçülmek üzere Apple'ın %99 oranındaki çalışma süresi gereksinimini karşılamalıdır.

  • 24 saati aşan bir Maksimum Birleştirme Gecikmesi (MMD) belirtmemelidir.

  • MMD dahilinde SCT'sini oluşturdukları bir sertifika içermelidir.

  • Apple'ın güvenli mağazasında dahil edilen tüm kök CA sertifikalarına güvenmelidir.

    • Günlükler, Apple'ın güvenli mağazasında bulunmayan köklere güvenebilir.

RFC 6962 ile uyumlu bir günlük şunları yapabilir:

  • süresi dolan sertifikaları reddedebilir.

  • iptal edilen sertifikaları reddedebilir.

  • id-kp-serverAuth Genişletilmiş Anahtar Kullanımı'nı (EKU) içermeyen varlık sertifikalarını reddedebilir.

STATIC-CT-API

Apple'ın Sertifika Şeffaflığı günlük programına dahil edilmek üzere değerlendirilmek için static-ct-api C2SP belirtimiyle uyumlu bir günlük:

  • Statik Sertifika Şeffaflığı API'si, v1.0.0 tarafından belirtildiği üzere CT'yi uygulamalıdır.

  • farklı zamanlarda ve/veya farklı taraflara, Merkle Ağacı'nın birbiriyle çelişen iki veya daha fazla görünümünü sunmamalıdır.

  • Apple tarafından ölçülmek üzere Apple'ın %99 oranındaki çalışma süresi gereksinimini karşılamalıdır.

  • 1 dakikayı aşan bir Maksimum Birleştirme Gecikmesi (MMD) belirtmemelidir.

  • MMD dahilinde SCT'sini oluşturdukları bir sertifika içermelidir.

  • Apple'ın güvenli mağazasında dahil edilen tüm kök CA sertifikalarına güvenmelidir.

    • Günlükler, Apple'ın güvenli mağazasında bulunmayan köklere güvenebilir.

static-ct-api C2SP belirtimine uyan bir günlük:

  • süresi dolan sertifikaları reddedebilir.

  • iptal edilen sertifikaları reddedebilir.

  • id-kp-serverAuth Genişletilmiş Anahtar Kullanımı'nı (EKU) içermeyen varlık sertifikalarını reddedebilir.

Apple platformlarındaki günlüklerin durumları

Apple platformlarında yer alan günlükler, aşağıdaki durumlardan birinde bulunabilir:

Pending (Beklemede)

Günlüğün, Apple'ın güvenilir günlük listesine dahil edilmesi için başvuruda bulunulmuş ancak başvuru henüz kabul edilmemiştir. Beklemedeki bir günlük, "currently qualified" (şu anda uygun) veya "once qualified" (daha önce uygun bulunmuş) olarak kabul edilmez.

Qualified (Uygun)

Günlük, Apple'ın programına kabul edilmiş ve Apple platformlarında dağıtımı için ayarlama yapılmıştır. Koşullara uyan bir günlük "currently qualified" (şu anda uygun) olarak kabul edilir.

Usable (Kullanılabilir)

Günlükteki SCT'lerin Apple'ın istemci CT politikası koşullarını karşıladığına güvenilebilir. Kullanılabilir bir günlük, "currently qualified" (şu anda uygun) olarak kabul edilir. Günlüklerin, uygun durumundan kullanılabilir durumuna geçmesi için en az 74 gün uygun durumunda kalması gerekir.

Readonly (Salt okunur)

Apple platformlarında günlüğe güvenilir ancak günlük salt okunur durumdadır (günlük, sertifika gönderimlerini kabul etmeyi durdurmuştur). Salt okunur bir günlük "currently qualified" (şu anda uygun) olarak kabul edilir.

Retired (Kullanımdan kaldırılmış)

Belirli bir kullanımdan kaldırma zaman damgasına kadar günlüğe Apple platformlarında güvenilmiştir. Kullanımdan kaldırılmış bir günlük, söz konusu SCT kullanımdan kaldırma zaman damgasından önce gönderilmişse "once qualified" (daha önce uygun bulunmuş) olarak kabul edilir. Kullanımdan kaldırılmış bir günlük "currently qualified" (şu anda nitelikli) olarak kabul edilmez.

Rejected (Reddedilmiş)

Apple platformlarında bu günlüğe güvenilmez ve güvenilmeyecektir. Reddedilmiş bir günlük, "currently qualified" (şu anda uygun) veya "once qualified" (daha önce uygun bulunmuş) olarak kabul edilmez.

Katılım süreci

Apple'ın Sertifika Şeffaflığı günlük programına kabul edilen günlüklerin Apple'ın politikasıyla uyumluluğu, bir izleme süresi boyunca kontrol edilir. Bu süre boyunca günlük durumu "Pending" (Beklemede) olarak kalır.

Apple, kendi takdirine bağlı olarak herhangi bir günlüğü reddedebilir. Reddedilmesi halinde günlüğün durumu "Rejected" (Reddedilmiş) olur. İzleme süresi boyunca Apple bir sorun olduğunu belirlemezse günlük kabul edilebilir ve durumu "Qualified" (Uygun) olarak değişir.

Apple, günlük programı politikalarına uyumluluk açısından, günlüğü sürekli olarak izler. Bu süre boyunca günlük durumu "qualified" (uygun), "usable" (kullanılabilir), "readonly" (salt okunur) veya "retired" (kullanımdan kaldırılmış) olabilir.

Günlükler, Apple'ın takdirine bağlı olarak veya günlük programı politikalarına uyumlu olmaması nedeniyle herhangi bir zamanda kullanımdan kaldırılabilir. Bu durumda günlük durumu "Retired" (Kullanımdan Kaldırılmış) olarak değişir.

Katılım başvurusu

Apple'ın CT günlük programına katılım başvurusu için certificate-transparency-program@group.apple.com adresine, aşağıdakileri içeren bir e-posta gönderin:

  • Aşağıdakiler dahil olmak üzere günlüğün açıklaması:

    • varsa sertifikaları kabul etme politikası;

    • varsa günlük kaydı için sertifika reddi politikası;

    • Konu DN değeri ve SHA256 parmak izine göre kabul edilen kök sertifikaların bir listesi ve

    • günlüğün uyumlu olduğu belirtim (RFC 6962 veya static-ct-api).

  • Genel erişime açık CT günlük sunucusunun URL'si (HTTP).

  • Günlüğün açık anahtarı (SubjectPublicKeyInfo ASN.1 yapısının DER kodlaması).

  • Günlüğün MMD'si.

  • Aşağıdakiler dahil olmak üzere günlüğün geçici olarak parçalanmış sertifika süre sonu aralığı:

    • UTC saat diliminde ISO 8601 Tarih ve Saat biçiminde end_exclusive değeri ve

    • UTC saat diliminde ISO 8601 Tarih ve Saat biçiminde start_inclusive değeri.

  • Operatör faaliyetleriyle ilgili iki irtibat kişisinin ve iki operatör temsilcisi irtibat kişisinin e-posta adreslerini de içeren iletişim bilgileri.

Apple tarafından üretilmeyen ürünler veya Apple tarafından denetlenmeyen veya test edilmeyen bağımsız web siteleri hakkındaki bilgiler bir öneri veya onay niteliği taşımadan sunulmuştur. Üçüncü taraf web sitelerinin veya ürünlerinin seçilmesi, performansı veya kullanılması konusunda Apple hiçbir sorumluluk kabul etmez. Apple, üçüncü taraf web sitelerinin doğruluğu veya güvenilirliğiyle ilgili herhangi bir beyanda bulunmamaktadır. Ek bilgi için tedarikçi ile irtibat kurun.

Yayın Tarihi: