Apple'ın Sertifika Şeffaflığı günlük programı

Apple'ın Sertifika Şeffaflığı günlük programıyla ilgili politikalar ve katılım başvurusu yapma hakkında bilgi edinin.

Apple'ın Sertifika Şeffaflığı günlük programının amacı, genel olarak güvenilen TLS sunucu kimlik doğrulama sertifikaları için İmzalı Sertifika Zaman Damgası (SCT) sağlamak üzere, Apple platformlarında güvenilen bir dizi Sertifika Şeffaflığı (CT) günlüğü oluşturmaktır.

Program politikaları ve gereksinimleri

Apple'ın Sertifika Şeffaflığı günlük programına katılım talebinizin değerlendirilebilmesi için günlüklerin aşağıdaki gereksinimlerin tümünü karşılaması gerekir:

• Günlük örneklerinde, RFC6962 numaralı belgede belirtildiği şekilde, CT'nin uygulanmış olması gerekir.

• Günlükler, farklı zamanlarda ve/veya farklı taraflara, Merkle Ağacı'nın birbiriyle çelişen iki veya daha fazla görünümünü sunmamalıdır.

• Günlükler için Maksimum Birleştirme Gecikmesi (MMD) 24 saat olmalıdır.

• Günlükler, MMD süresi içinde SCT'sini oluşturdukları bir sertifika içermelidir.

• Günlük örnekleri, Apple'ın ölçümlerine göre, Apple'ın %99 çalışma süresi gereksinimini karşılamalıdır.

• Günlük kesintileri MMD süresinden uzun olmamalıdır.

• Günlükler, bu politikalarla uyumluluğu izlemek üzere Apple'ın uyumluluk kök CA'sı tarafından gönderilen sertifikaları kabul etmelidir.

• Günlükler, Apple'ın güvenli mağazasında bulunan tüm kök CA sertifikalarına güvenmelidir. Günlüklerin, Apple'ın güvenli mağazasında bulunmayan köklere de güvenmesine izin verilir.

Operatör başına en fazla üç adet uygun veya kullanılabilir günlük örneğine izin verilir. Sertifika kullanım süresi sınırlaması olmayan günlükler için, bir günlük örneği URL ve günlük imzalama anahtarıyla temsil edilir. Sertifika kullanım süresi sınırlaması olan günlükler için, zaman parçalı bir dizi günlük tek bir günlük örneği olarak kabul edilir. Aşağıda, dört zaman parçasında çalışan bir günlük örneği verilmiştir:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Apple platformlarındaki günlüklerin durumları

Apple platformlarında yer alan günlükler, aşağıdaki durumlardan birinde bulunabilir:

Pending (Beklemede)

Günlüğün, Apple'ın güvenilir günlük listesine dahil edilmesi için başvuruda bulunulmuş ancak başvuru henüz kabul edilmemiştir. Beklemedeki bir günlük, "currently qualified" (şu anda uygun) veya "once qualified" (daha önce uygun bulunmuş) olarak kabul edilmez.

Qualified (Uygun)

Günlük, Apple'ın programına kabul edilmiş ve Apple platformlarında dağıtımı için ayarlama yapılmıştır. Koşullara uyan bir günlük "currently qualified" (şu anda uygun) olarak kabul edilir.

Usable (Kullanılabilir)

Günlükteki SCT'lerin Apple'ın istemci CT politikası koşullarını karşıladığına güvenilebilir. Kullanılabilir bir günlük, "currently qualified" (şu anda uygun) olarak kabul edilir. Günlüklerin, uygun durumundan kullanılabilir durumuna geçmesi için en az 74 gün uygun durumunda kalması gerekir.

Read-only (Salt okunur)

Apple platformlarında günlüğe güvenilir ancak günlük salt okunur durumdadır (günlük, sertifika gönderimlerini kabul etmeyi durdurmuştur). Salt okunur bir günlük, "currently qualified" (şu anda nitelikli) olarak kabul edilir.

Retired (Kullanımdan Kaldırılmış)

Belirli bir kullanımdan kaldırma zaman damgasına kadar günlüğe Apple platformlarında güvenilmiştir. Kullanımdan kaldırılmış bir günlük, söz konusu SCT kullanımdan kaldırma zaman damgasından önce gönderilmişse "once qualified" (daha önce uygun bulunmuş) olarak kabul edilir. Kullanımdan kaldırılmış bir günlük "currently qualified" (şu anda nitelikli) olarak kabul edilmez.

Rejected (Reddedilmiş)

Apple platformlarında bu günlüğe güvenilmez ve güvenilmeyecektir. Reddedilmiş bir günlük, "currently qualified" (şu anda uygun) veya "once qualified" (daha önce uygun bulunmuş) olarak kabul edilmez.

Katılım süreci

Apple'ın Sertifika Şeffaflığı günlük programına kabul edilen günlüklerin Apple'ın politikasıyla uyumluluğu, 90 günlük bir izleme süresi boyunca kontrol edilir. Bu süre boyunca günlük durumu "Pending" (Beklemede) olarak kalır.

Apple, kendi takdirine bağlı olarak herhangi bir günlüğü reddedebilir. Reddedilmesi halinde günlüğün durumu "Rejected" (Reddedilmiş) olur. İzleme süresi boyunca Apple bir sorun olduğunu belirlemezse günlük kabul edilebilir ve durumu "Qualified" (Uygun) olarak değişir.

Apple, günlük programı politikalarına uyumluluk açısından, günlüğü sürekli olarak izler. Bu süre boyunca günlük durumu "qualified" (uygun), "usable" (kullanılabilir), "read-only" (salt okunur) veya "retired" (kullanımdan kaldırılmış) olabilir.

Günlükler, Apple'ın takdirine bağlı olarak veya günlük programı politikalarına uyumlu olmaması nedeniyle herhangi bir zamanda kullanımdan kaldırılabilir. Bu durumda günlük durumu "Retired" (Kullanımdan Kaldırılmış) olarak değişir.

Katılım başvurusu

Apple'ın CT günlük programına katılım başvurusu için certificate-transparency-program@group.apple.com adresine, aşağıdakileri içeren bir e-posta gönderin:

• Günlüğün açıklaması

• Kabul edilen kök sertifikaların Subject DN ve SHA256 parmak izi bilgilerine göre hazırlanmış bir listesini içeren sertifika kabul politikası

• Günlük kaydı için sertifika reddi politikası

• Günlüğün MMD'si

• Operatör faaliyetleriyle ilgili iki irtibat kişisinin ve iki operatör temsilcisi irtibat kişisinin e-posta adreslerini ve telefon numaralarını da içeren iletişim bilgileri

• Genel erişime açık bir CT günlük sunucusunun URL'si (HTTP)

• CT günlüğü açık anahtarı (SubjectPublicKeyInfo ASN.1 yapısına ilişkin DER kodlaması)