Apple 证书透明度日志计划

了解 Apple 证书透明度日志计划的相关政策，以及如何申请加入这一计划。

Apple 证书透明度日志计划旨在生成 Apple 平台能够信任的一系列证书透明度 (CT) 日志，以便为公开可信的 TLS 服务器认证证书提供经过签名的证书时间戳 (SCT)。

计划政策和要求

要申请加入 Apple 证书透明度日志计划，符合 RFC 6962 要求的日志必须：

符合 RFC 6962 要求的日志可能会：

拒绝已过期的证书。
拒绝已撤销的证书。
拒绝不包含 id-kp-serverAuth 扩展密钥用法 (EKU) 的叶证书。
- 如果日志接受叶证书类型发生的任何变化，则日志操作员必须至少提前 45 天向 certificate-transparency-program@group.apple.com 发送书面通知。

要申请加入 Apple 证书透明度日志计划，符合 static-ct-api C2SP 规范要求的日志必须：

符合 static-ct-api C2SP 规范要求的日志可能会：

拒绝已过期的证书。
拒绝已撤销的证书。
拒绝不包含 id-kp-serverAuth 扩展密钥用法 (EKU) 的叶证书。
- 如果日志接受叶证书类型发生的任何变化，则日志操作员必须至少提前 45 天向 certificate-transparency-program@group.apple.com 发送书面通知。

Apple 平台上的日志可能会处于以下某一状态：

待处理

日志已请求加入 Apple 的可信日志列表，但还没有被接受。待处理日志不会被视为“当前合格”或“曾经合格”。

合格

日志已被 Apple 计划接受，并被设置为分发到 Apple 的各个平台。合格日志会被视为“当前合格”。

可用

日志中的 SCT 可作为满足 Apple 客户端 CT 政策的依据。可用日志会被视为“当前合格”。在处于合格状态至少 74 天后，日志会从合格状态过渡到可用状态。

只读

日志已得到 Apple 平台的信任，但处于只读状态，即日志已停止接受提交的证书。只读日志会被视为“当前合格”。

已停用

在特定停用时间戳被发放之前，日志曾得到 Apple 平台的信任。如果相关 SCT 是在停用时间戳之前发放的，则已停用的日志会被视为“曾经合格”。已停用的日志不会被视为“当前合格”。

已遭拒

日志尚未得到而且将来也不会得到 Apple 平台的信任。已遭拒的日志不会被视为“当前合格”或“曾经合格”。

在获准加入 Apple 证书透明度日志计划后，日志会经历一段监控期，以接受 Apple 的政策合规性检查。在此期间，日志会处于“待处理”状态。

Apple 可自行决定拒绝任何日志。如果出现这种情况，日志的状态将变为“已遭拒”。如果 Apple 在监控期内没有发现任何问题，日志就可被接受，此时日志的状态将变为“合格”。

Apple 会持续监控日志对日志计划政策的遵守情况。在此期间，日志的状态可能会变为“合格”、“可用”、“只读”或“已停用”。

日志随时可能会因 Apple 的决定或因违反日志计划政策而被停用。此时，日志的状态就会变为“已停用”。

要申请加入 Apple 的 CT 日志计划，请向 certificate-transparency-program@group.apple.com 发送电子邮件并附上以下信息：

日志的描述，包括：
- 证书接受政策（如果有）；
- 有关拒绝记录证书日志的政策（如果有）；
- 由主体 DN 和 SHA256 指纹所接受的根证书的列表；以及
- 日志符合的规范（RFC 6962 或 static-ct-api）。
公开可访问的 CT 日志服务器 URL (HTTP)。
日志的公共密钥（SubjectPublicKeyInfo ASN.1 结构的 DER 编码）。
日志的 MMD。
日志中按时间划分的证书有效期，范围包括：
- ISO 8601 Date and Time 中的 end_exclusive 值，采用 UTC 格式；以及
- ISO 8601 Date and Time 中的 start_inclusive 值，采用 UTC 格式。
联系信息，包括两位运营商运营联系人和两位运营商代表联系人的电子邮件地址。

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考，不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期： 2025 年 07 月 01 日