Apple 的「憑證透明度記錄計劃」

了解 Apple 的「憑證透明度記錄計劃」政策及申請加入方法。

Apple 的「憑證透明度記錄計劃」旨在為 Apple 平台建立一套可信任的「憑證透明度」(CT) 記錄,以向公開認可的 TLS 伺服器認證憑證提供「已簽署憑證時間戳記」(SCT)。

計劃政策及要求

RFC 6962

如要獲考慮加入 Apple 的「憑證透明度記錄計劃」,符合 RFC 6962 的記錄必須滿足以下條件:

  • 按照 RFC 6962 執行 CT。

  • 記錄的「默克爾樹」(Merkle Tree) 不在不同時間及/或對每一方出現兩個或以上的矛盾點。

  • 達到 Apple 的正常運作時間要求的 99% (由 Apple 測量)。

  • 不指定超過 24 小時的「最長延遲合併時間」(MMD) 。

  • 包括在 MMD 限時內為其建立 SCT 的憑證。

  • 信任「Apple 信任憑證庫」中的所有根 CA 憑證。

    • 記錄可能信任「Apple 信任憑證庫」並未包含的其他根。

符合 RFC 6962 的記錄可以採取以下動作:

  • 拒絕過期憑證。

  • 拒絕已撤銷的憑證。

  • 拒絕接受沒有 id-kp-serverAuth Extended Key Usage (EKU) 的分葉憑證。

STATIC-CT-API

如要獲考慮加入 Apple 的「憑證透明度記錄計劃」,符合 static-ct-api C2SP 規格的記錄必須滿足以下條件:

  • 按照「靜態憑證透明度 API,版本 1.0.0」的規定執行 CT。

  • 記錄的「默克爾樹」(Merkle Tree) 不在不同時間及/或對每一方出現兩個或以上的矛盾點。

  • 達到 Apple 的正常運作時間要求的 99% (由 Apple 測量)。

  • 不指定超過 1 分鐘的「最長延遲合併時間」(MMD) 。

  • 包括在 MMD 限時內為其建立 SCT 的憑證。

  • 信任「Apple 信任憑證庫」中的所有根 CA 憑證。

    • 記錄可能信任「Apple 信任憑證庫」並未包含的其他根。

符合 static-ct-api C2SP 規格的記錄可以採取以下動作:

  • 拒絕過期憑證。

  • 拒絕已撤銷的憑證。

  • 拒絕接受沒有 id-kp-serverAuth Extended Key Usage (EKU) 的分葉憑證。

Apple 平台上的記錄狀態

Apple 平台上的記錄會顯示以下其中一個狀態:

尚待處理

記錄已要求加入 Apple 的信任記錄清單,但尚未獲准。尚待處理的記錄不會被視為「目前符合資格」或「曾經符合資格」。

符合資格

記錄已獲准加入 Apple 的計劃,並可以分發到 Apple 各個平台。符合資格的記錄會被視為「目前符合資格」。

可用

可以依據記錄的 SCT 來確保符合 Apple 的用户 CT 政策。可用的記錄會被視為「目前符合資格」。記錄會在處於合資格狀態至少 74 天後,由「符合資格」轉為「可用」。

唯讀

Apple 平台信任該記錄,但只限讀取 (即該記錄已不再接受提交憑證)。唯讀記錄會被視為「目前符合資格」。

已終止

記錄在特定終止時間戳記前受 Apple 平台信任。如果所涉 SCT 在終止時間戳記前發出,已終止的記錄便會被視為「曾經符合資格」。已終止的記錄不會被視為「目前符合資格」。

已被拒

Apple 平台現在和之後都不會信任該記錄。已被拒的記錄不會被視為「目前符合資格」或「曾經符合資格」。

加入程序

當記錄獲准加入 Apple 的「憑證透明度記錄計劃」後,便會進入監察期以確保符合 Apple 政策。記錄在這段時間的狀態為「尚待處理」。

Apple 有權拒絕任何記錄。如果記錄被拒,狀態便會轉為「已被拒」。如果 Apple 在監察期沒有發現任何問題,便會批准該記錄加入,這時記錄狀態會變為「符合資格」。

Apple 會持續監察該記錄,以確保符合記錄計劃政策。在此期間,記錄的狀態可以是「符合資格」、「可用」、「唯讀」或「已終止」。

記錄可因 Apple 判斷或因不符合記錄計劃政策而隨時終止,而記錄狀態會隨之變為「已終止」。

申請加入

如要申請加入 Apple 的 CT 記錄計劃,請傳送電郵到 certificate-transparency-program@group.apple.com 並提供以下資料:

  • 記錄說明,包括下列資訊:

    • 憑證接受政策 (如有)。

    • 拒絕憑證進行記錄的政策 (如有)。

    • 按主體 DN 及 SHA256 指紋排序的許可根憑證清單。

    • 記錄符合的規格 (RFC 6962 或 static-ct-api)。

  • 可以公開取用的 CT 記錄伺服器的網址 (HTTP)。

  • 記錄的公開密鑰 (SubjectPublicKeyInfo ASN.1 架構的 DER 編碼)。

  • 記錄的 MMD.

  • 記錄的暫時分片憑證到期範圍包括:

    • 以國際標準時間格式顯示的 ISO 8601 日期與時間中的 end_exclusive 值。

    • 以國際標準時間格式顯示的 ISO 8601 日期與時間中的 start_inclusive 值。

  • 聯絡資料,包括兩名營運商營運聯絡人及兩名營運商代表聯絡人的電郵地址。

對於非 Apple 製造產品,或者並非由 Apple 控制或測試的獨立網站,其相關資訊的提供不應詮釋為受到 Apple 所推薦或認可。Apple 對於第三方網站或產品的選擇、表現或使用,概不承擔任何責任。Apple 對於第三方網站的準確性或可靠性不作任何聲明。如需進一步資料,請聯絡相關供應商

發佈日期: