Apple 的「憑證透明度記錄計劃」

了解 Apple 的「憑證透明度記錄計劃」政策及申請加入方法。

Apple 的「憑證透明度記錄計劃」旨在為 Apple 平台建立一套可信任的「憑證透明度」(CT) 記錄,以向公開認可的 TLS 伺服器認證憑證提供「已簽署憑證時間戳記」(SCT)。

計劃政策及要求

如要獲考慮加入 Apple 的「憑證透明度記錄計劃」,記錄必須符合以下所有要求:

  • 記錄實例必須按照 RFC6962 執行 CT。
  • 記錄不得在不同時間及/或對不同相關方展示兩個或以上有衝突的「默克爾樹」(Merkle Tree) 檢視圖。
  • 記錄的「最長延遲合併時間」(MMD) 為 24 小時。
  • 記錄中必須包括在 MMD 限時內為其建立 SCT 的憑證。
  • 記錄實例必須達到 Apple 的 99% 正常運作時間要求 (由 Apple 測量)。
  • 記錄的停止運作時間不可以超過 MMD。
  • 記錄必須接受由 Apple「合規性 Root CA」發出的憑證,以便系統監察記錄是否符合這些政策的要求。
  • 記錄必須信任「Apple 信任憑證庫」中的所有 Root CA 憑證,也可以信任「Apple 信任憑證庫」並未包含的其他 Root。

每個營運商最多可以有三個合資格或可用的記錄實例。對於不受憑證有效期限制的記錄,其實例會以網址或記錄簽署密鑰顯示;而受憑證有效期限制的記錄,一組分段時間記錄會被視作單一實例。以下為一個分開四個時段執行的單一記錄實例:

Company A 'Loggy 2020' log: accepts certificates that expire between 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC
Company A 'Loggy 2021' log: accepts certificates that expire between 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC
Company A 'Loggy 2022' log: accepts certificates that expire between 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC
Company A 'Loggy 2023' log: accepts certificates that expire between 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC

Apple 平台上的記錄狀態

Apple 平台上的記錄會顯示以下其中一個狀態:

尚待處理 (Pending)
記錄已要求加入 Apple 的信任記錄清單,但尚未獲准。尚待處理的記錄不會被視為「目前符合資格」或「曾經符合資格」。

符合資格 (Qualified)
記錄已獲准加入 Apple 的計劃,並可以分發到 Apple 各個平台。符合資格的記錄會被視為「目前符合資格」。

可用 (Usable)
可以依據記錄的 SCT 來確保符合Apple 的用戶 CT 政策。可用的記錄會被視為「目前符合資格」。記錄會在處於合資格狀態至少 74 天後,由「符合資格」轉為「可用」。

唯讀 (Read-only)
Apple 平台信任該記錄,但只限讀取 (即該記錄已不再接受提交憑證)。唯讀記錄會被視為「目前符合資格」。

已終止
記錄在特定終止時間戳記前受 Apple 平台信任。如果所涉 SCT 在終止時間戳記前發出,已終止的記錄便會被視為「曾經符合資格」。已終止的記錄不會被視為「目前符合資格」。

已被拒 (Rejected)
Apple 平台現在和之後都不會信任該記錄。已被拒的記錄不會被視為「目前符合資格」或「曾經符合資格」。

加入程序

當記錄獲准加入 Apple 的「憑證透明度記錄計劃」後,便會進入為期 90 天的監察期以確保符合 Apple 政策。記錄在這段時間的狀態為「尚待處理」。

Apple 有權拒絕任何記錄。如果記錄被拒,狀態便會轉為「已被拒」。如果 Apple 在監察期沒有發現任何問題,便會批准該記錄加入,這時記錄狀態會變為「符合資格」。

Apple 會持續監察該記錄,以確保符合記錄計劃政策。在此期間,記錄的狀態可以是「符合資格」、「可用」、「唯讀」或「已終止」。

記錄可因 Apple 判斷或因不符合記錄計劃政策而隨時終止,而記錄狀態會隨之變為「已終止」。

申請加入

如要申請加入 Apple 的 CT 記錄計劃,請傳送電郵到 certificate-transparency-program@group.apple.com 並提供以下資料:

  • 記錄之描述
  • 憑證接受政策,包括按主體 DN 及 SHA256 指紋排序的許可 Root 憑證清單
  • 拒絕憑證進行記錄的政策
  • 記錄的 MMD
  • 聯絡資料,包括兩名營運商營運聯絡人及兩名營運商代表聯絡人的電郵地址和電話號碼
  • 一個可以公開存取的 CT 記錄伺服器的網址 (HTTP)
  • CT 記錄公開密鑰 (SubjectPublicKeyInfo ASN.1 架構的 DER 編碼)
發佈日期: