Apple 证书透明度日志计划

了解 Apple 证书透明度日志计划的相关政策,以及如何申请加入这一计划。

Apple 证书透明度日志计划旨在生成 Apple 平台能够信任的一系列证书透明度 (CT) 日志,以便为公开可信的 TLS 服务器鉴定证书提供经过签名的证书时间戳 (SCT)。

计划政策和要求

要申请加入 Apple 证书透明度日志计划,日志必须满足以下所有要求:

  • 日志实例必须按照 RFC6962 中的规定来实施 CT。

  • 同一日志不得在不同时间并且/或向不同相关方呈现两个或更多相互冲突的墨克树视图。

  • 日志的最大合并延迟 (MMD) 为 24 小时。

  • 如果日志在 MMD 期限内为某个证书创建了 SCT,则日志必须包含这个证书。

  • 日志实例必须满足 Apple 对于正常运行时间要达到 99%(由 Apple 来衡量)的要求。

  • 日志的服务中断时长不能超过 MMD。

  • Apple 的合规性根 CA 会发放相应的证书,以监控日志对于相关政策的遵守情况;因此,日志必须接受这些证书。

  • 日志必须信任 Apple 受信任证书存储区内包含的所有根 CA 证书。日志可以信任 Apple 受信任证书存储区内可能并不包含的其他根证书。

每个运营商最多可以使用三个合格的或可用的日志实例。对于不存在证书过期限制的日志,实例会以 URL 和日志签名密钥的形式呈现。对于存在证书过期限制的日志,一组分时日志会被视为单个实例。以下示例呈现的就是一个运行四个时间分段的单日志实例:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

日志在 Apple 平台上所处的状态

Apple 平台上的日志可能会处于以下某一状态:

待处理

日志已请求加入 Apple 的可信日志列表,但还没有被接受。待处理日志不会被视为“当前合格”或“曾经合格”。

合格

日志已被 Apple 计划接受,并被设置为分发到 Apple 的各个平台。合格日志会被视为“当前合格”。

可用

日志中的 SCT 可作为满足 Apple 客户端 CT 政策的依据。可用日志会被视为“当前合格”。在处于合格状态至少 74 天后,日志会从合格状态过渡到可用状态。

只读

日志已得到 Apple 平台的信任,但处于只读状态,即日志已停止接受提交的证书。只读日志会被视为“当前合格”。

已停用

在特定停用时间戳被发放之前,日志曾得到 Apple 平台的信任。如果相关 SCT 是在停用时间戳之前发放的,则已停用的日志会被视为“曾经合格”。已停用的日志不会被视为“当前合格”。

已遭拒

日志尚未得到而且将来也不会得到 Apple 平台的信任。已遭拒的日志不会被视为“当前合格”或“曾经合格”。

加入流程

在获准加入 Apple 证书透明度日志计划后,日志会经历一段为期 90 天的监控期,以接受 Apple 的政策合规性检查。在此期间,日志会处于“待处理”状态。

Apple 可自行决定拒绝任何日志。如果出现这种情况,日志的状态将变为“已遭拒”。如果 Apple 在监控期内没有发现任何问题,日志就可被接受,此时日志的状态将变为“合格”。

Apple 会持续监控日志对日志计划政策的遵守情况。在此期间,日志的状态可能会变为“合格”、“可用”、“只读”或“已停用”。

日志随时可能会因 Apple 的决定或因违反日志计划政策而被停用。此时,日志的状态就会变为“已停用”。

申请加入计划

要申请加入 Apple 的 CT 日志计划,请向 certificate-transparency-program@group.apple.com 发送电子邮件并附上以下信息:

  • 日志的描述

  • 证书接受政策,包括列出由主体 DN 和 SHA256 指纹所接受的根证书

  • 有关拒绝记录证书日志的政策

  • 日志的 MMD

  • 联系信息,包括两位运营商运营联系人和两位运营商代表联系人的电子邮件地址和电话号码

  • 公开可访问的 CT 日志服务器 URL (HTTP)

  • CT 日志公共密钥(SubjectPublicKeyInfo ASN.1 结构的 DER 编码)

有关非 Apple 制造的产品或非 Apple 控制或测试的独立网站的信息仅供参考,不代表 Apple 的任何建议或保证。Apple 对于第三方网站或产品的选择、性能或使用不承担任何责任。Apple 对于第三方网站的准确性和可靠性不作任何担保。联系供应商以了解其他信息。

发布日期: