Програма Apple щодо журналів прозорості сертифікатів

ДІЗНАЙТЕСЯ ПРО ПРАВИЛА ПРОГРАМИ APPLE ЩОДО ЖУРНАЛІВ ПРОЗОРОСТІ СЕРТИФІКАТІВ І УМОВАХ УЧАСТІ В ЦІЙ ПРОГРАМІ.

Мета цієї програми — скласти перелік журналів прозорості сертифікатів (CT), від яких платформи Apple прийматимуть мітки часу підписання сертифікатів (SCT) для довірених сертифікатів автентифікації серверів за протоколом TLS.

Правила й вимоги програми

RFC 6962

Щоб бути включеним до програми Apple щодо журналів прозорості сертифікатів, журнал, що відповідає вимогам RFC 6962, має:

• впровадити CT, як зазначено в RFC 6962;

• не містити двох або більше суперечливих подань дерева Меркла в різний час та/або для різних сторін;

• бути доступним 99 % часу за замірами Apple;

• не використовувати максимальну затримку об’єднання (MMD) понад 24 години;

• включати сертифікат, для якого створено SCT у межах MMD;

• довіряти всім кореневим сертифікатам ЦС, що включені до довірчого сховища Apple.

  • Журнали можуть довіряти кореневим сертифікатам, які не включені до довірчого сховища Apple.

Журнал, що відповідає вимогам RFC 6962, може:

• відхиляти сертифікати, термін дії яких минув;

• відхиляти відкликані сертифікати;

• відхиляти листкові сертифікати, які не містять id-kp-serverAuth в розширенні Extended Key Usage (EKU).

  • Оператори журналів повинні надсилати на адресу certificate-transparency-program@group.apple.com письмове сповіщення про будь-які зміни в типах листкових сертифікатів, які вони приймають, щонайменше за 45 днів до внесення таких змін.

STATIC-CT-API

Щоб бути включеним до програми Apple щодо журналів прозорості сертифікатів, журнал, що відповідає специфікації static-ct-api від C2SP, має:

• впровадити CT, як зазначено в API прозорості статичних сертифікатів версії 1.0.0;

• не містити двох або більше суперечливих подань дерева Меркла в різний час та/або для різних сторін;

• бути доступним 99 % часу за замірами Apple;

• не використовувати максимальну затримку об’єднання (MMD) понад 1 хвилини;

• включати сертифікат, для якого створено SCT у межах MMD;

• довіряти всім кореневим сертифікатам ЦС, що включені до довірчого сховища Apple.

  • Журнали можуть довіряти кореневим сертифікатам, які не включені до довірчого сховища Apple.

Журнал, що відповідає специфікації static-ct-api від C2SP, може:

• відхиляти сертифікати, термін дії яких минув;

• відхиляти відкликані сертифікати;

• відхиляти листкові сертифікати, які не містять id-kp-serverAuth в розширенні Extended Key Usage (EKU).

  • Оператори журналів повинні надсилати на адресу certificate-transparency-program@group.apple.com письмове сповіщення про будь-які зміни в типах листкових сертифікатів, які вони приймають, щонайменше за 45 днів до внесення таких змін.

Стани журналів на платформах Apple

Журнали на платформах Apple можуть мати один із наведених нижче станів.

Очікує на розгляд

Для журналу надіслано запит на включення до списку довірених журналів Apple, але його ще не прийнято. Журнал, що очікує на розгляд, не належить до категорій «наразі засвідчений» або «раніше засвідчений».

Засвідчений

Журнал прийнято в програмі Apple і налаштовано для поширення на платформах Apple. Засвідчений журнал належить до категорії «наразі засвідчений».

Придатний до використання

Мітки SCT з цього журналу можна використовувати для виконання політики Apple щодо прозорості сертифікатів на клієнтах. Придатний до використання журнал належить до категорії «наразі засвідчений». Журнали переходять із засвідчених у придатні до використання після принаймні 74 днів засвідченого стану.

Лише для читання

Журнал вважається довіреним на платформах Apple, але доступний лише для читання, тобто більше не приймає заявки на нові сертифікати. Придатний лише для читання журнал належить до категорії «наразі засвідчений».

Відкликаний

Журнал вважався довіреним на платформах Apple до певної позначки часу завершення дії. Відкликаний журнал належить до категорії «раніше засвідчений», якщо відповідну мітку SCT було видано до позначки часу завершення дії. Відкликаний журнал не належить до категорії «наразі засвідчений».

Відхилений

Журналу не є й не буде довіреним на платформах Apple. Відхилений журнал не належить до категорій «наразі засвідчений» або «раніше засвідчений».

Процес включення

Після того як журнал буде прийнято в програмі Apple щодо журналів прозорості сертифікатів, він перевірятиметься на відповідність політиці Apple протягом моніторингового періоду. Протягом цього часу журнал перебуватиме в стані «очікує на розгляд».

Apple може відхилити будь-який журнал на власний розсуд. У такому журналу переходить у стан «відхилений». Якщо Apple не виявляє проблем протягом моніторингового періоду, журнал може бути прийнятий. Тоді його стан змінюється на «засвідчений».

Apple постійно відстежуватиме журнал на відповідність політикам програми журналів. Стан журналу протягом цього часу може бути «Засвідчений», «Придатний для використання», «Лише для читання» або «Відкликаний».

Журнал може бути відкликаний будь-коли на розсуд Apple або внаслідок порушення політик програми журналів. Тоді журнал переходить у стан «відкликаний».

Як подати заявку на включення

Щоб подати заявку на включення до програми Apple щодо журналів прозорості сертифікатів, напишіть на адресу certificate-transparency-program@group.apple.com та вкажіть наведені нижче дані.

• Опис журналу, зокрема:

  • політика прийому сертифікатів, якщо є;

  • політика відхилення сертифікатів для журналювання, якщо є;

  • список прийнятих кореневих сертифікатів з унікальними іменами суб’єктів і відбитками SHA256; і

  • специфікація (RFC 6962 або static-ct-api), якій відповідає журнал.

• URL-адреса (HTTP) загальнодоступного сервера журналів CT.

• Відкритий ключ журналу (кодування DER структури SubjectPublicKeyInfo ASN.1).

• Максимальна затримка об’єднання (MMD) журналу.

• Діапазон закінчення терміну дії сертифіката з часовим шардуванням у журналі, зокрема:

  • значення end_exclusive з указанням дати й часу за ISO 8601 у форматі UTC; і

  • значення start_inclusive з указанням дати й часу за ISO 8601 у форматі UTC.

• Контактна інформація, зокрема електронні адреси двох контактних осіб оператора з технічних питань і ще двох з організаційних питань.