Apple 的「憑證透明度記錄計劃」

了解 Apple 的「憑證透明度記錄計劃」政策及申請加入方法。

Apple 的「憑證透明度記錄計劃」旨在為 Apple 平台建立一套可信任的「憑證透明度」(CT) 記錄，以向公開認可的 TLS 伺服器認證憑證提供「已簽署憑證時間戳記」(SCT)。

計劃政策及要求

如要獲考慮加入 Apple 的「憑證透明度記錄計劃」，符合 RFC 6962 的記錄必須滿足以下條件：

符合 RFC 6962 的記錄可以採取以下動作：

拒絕過期憑證。
拒絕已撤銷的憑證。
拒絕接受沒有 id-kp-serverAuth Extended Key Usage (EKU) 的分葉憑證。
- 如果記錄接受的分葉憑證類型有所變動，記錄操作員必須提前最少 45 日向 certificate-transparency-program@group.apple.com 發出書面通知。

如要獲考慮加入 Apple 的「憑證透明度記錄計劃」，符合 static-ct-api C2SP 規格的記錄必須滿足以下條件：

符合 static-ct-api C2SP 規格的記錄可以採取以下動作：

拒絕過期憑證。
拒絕已撤銷的憑證。
拒絕接受沒有 id-kp-serverAuth Extended Key Usage (EKU) 的分葉憑證。
- 如果記錄接受的分葉憑證類型有所變動，記錄操作員必須提前最少 45 日向 certificate-transparency-program@group.apple.com 發出書面通知。

Apple 平台上的記錄會顯示以下其中一個狀態：

尚待處理

記錄已要求加入 Apple 的信任記錄清單，但尚未獲准。尚待處理的記錄不會被視為「目前符合資格」或「曾經符合資格」。

符合資格

記錄已獲准加入 Apple 的計劃，並可以分發到 Apple 各個平台。符合資格的記錄會被視為「目前符合資格」。

可用

可以依據記錄的 SCT 來確保符合 Apple 的用户 CT 政策。可用的記錄會被視為「目前符合資格」。記錄會在處於合資格狀態至少 74 天後，由「符合資格」轉為「可用」。

唯讀

Apple 平台信任該記錄，但只限讀取 (即該記錄已不再接受提交憑證)。唯讀記錄會被視為「目前符合資格」。

已終止

記錄在特定終止時間戳記前受 Apple 平台信任。如果所涉 SCT 在終止時間戳記前發出，已終止的記錄便會被視為「曾經符合資格」。已終止的記錄不會被視為「目前符合資格」。

已被拒

Apple 平台現在和之後都不會信任該記錄。已被拒的記錄不會被視為「目前符合資格」或「曾經符合資格」。

當記錄獲准加入 Apple 的「憑證透明度記錄計劃」後，便會進入監察期以確保符合 Apple 政策。記錄在這段時間的狀態為「尚待處理」。

Apple 有權拒絕任何記錄。如果記錄被拒，狀態便會轉為「已被拒」。如果 Apple 在監察期沒有發現任何問題，便會批准該記錄加入，這時記錄狀態會變為「符合資格」。

Apple 會持續監察該記錄，以確保符合記錄計劃政策。在此期間，記錄的狀態可以是「符合資格」、「可用」、「唯讀」或「已終止」。

記錄可因 Apple 判斷或因不符合記錄計劃政策而隨時終止，而記錄狀態會隨之變為「已終止」。

如要申請加入 Apple 的 CT 記錄計劃，請傳送電郵到 certificate-transparency-program@group.apple.com 並提供以下資料：

記錄說明，包括下列資訊：
- 憑證接受政策 (如有)。
- 拒絕憑證進行記錄的政策 (如有)。
- 按主體 DN 及 SHA256 指紋排序的許可根憑證清單。
- 記錄符合的規格 (RFC 6962 或 static-ct-api)。
可以公開取用的 CT 記錄伺服器的網址 (HTTP)。
記錄的公開密鑰 (SubjectPublicKeyInfo ASN.1 架構的 DER 編碼)。
記錄的 MMD.
記錄的暫時分片憑證到期範圍包括：
- 以國際標準時間格式顯示的 ISO 8601 日期與時間中的 end_exclusive 值。
- 以國際標準時間格式顯示的 ISO 8601 日期與時間中的 start_inclusive 值。
聯絡資料，包括兩名營運商營運聯絡人及兩名營運商代表聯絡人的電郵地址。

對於非 Apple 製造產品，或者並非由 Apple 控制或測試的獨立網站，其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用，概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料，請聯絡相關供應商。

發佈日期： 7月 01, 2025