Apple 憑證透明度記錄計劃

瞭解 Apple 憑證透明度記錄計劃政策，以及申請加入的方式。

Apple 憑證透明度記錄計劃的目標是建立一組在 Apple 平台上受信任的憑證透明度（CT）記錄，以便為公開信任的 TLS 伺服器認證憑證提供簽署憑證時間戳記（SCT）。

計劃政策與需求

若要符合加入 Apple 憑證透明度記錄計劃的資格，記錄必須達成下列所有需求條件：

• 記錄實例必須按照 RFC6962 的規定實行 CT。

• 記錄內容不得在不同時間和/或對於不同方展示兩個以上具有衝突的雜湊樹（Merkle Tree）檢視圖。

• 記錄的最大合併延遲（MMD）時間為 24 小時。

• 記錄必須包含已在 MMD 中為其建立 SCT 的憑證。

• 根據 Apple 的測量結果，記錄實例必須符合 99% 的 Apple 正常運行時間需求。

• 記錄中斷時間不得比 MMD 還久。

• 記錄必須接受 Apple 合規性根 CA 核發的憑證，以監視記錄內容是否符合這些政策規定。

• 記錄必須信任 Apple 信任憑證庫中包含的所有根 CA 憑證。記錄可允許信任 Apple 信任憑證庫中可能未包含的其他根。

每家營運商最多允許三個合格或可用的記錄實例。對於沒有憑證到期日限制的記錄，會以 URL 和記錄簽名密鑰來代表實例。對於具有憑證到期日限制的記錄，一組分段時間記錄視為單一實例。以下是執行四個分段時間的單一記錄實例的範例：

公司 A「Loggy 2020」記錄：接受於 2020-01-01 00:00:00 UTC - 2021-01-01 00:00:00 UTC 之間到期的憑證 公司 A「Loggy 2021」記錄：接受於 2021-01-01 00:00:00 UTC - 2022-01-01 00:00:00 UTC 之間到期的憑證 公司 A「Loggy 2022」記錄：接受於 2022-01-01 00:00:00 UTC - 2023-01-01 00:00:00 UTC 之間到期的憑證 公司 A「Loggy 2023」記錄：接受於 2023-01-01 00:00:00 UTC - 2024-01-01 00:00:00 UTC 之間到期的憑證

Apple 平台上的記錄狀態

Apple 平台上包含的記錄可能會處於下列任一種狀態：

Pending（待處理）

此類記錄已申請加入 Apple 的受信任記錄列表，但尚未被接受。待處理的記錄不視為「目前合格」或「曾經合格」。

Qualified（合格）

此類記錄已被 Apple 計劃接受，並準備分發至 Apple 平台。合格的記錄視為「目前合格」。

Usable（可用）

可以憑藉此類記錄中的 SCT 來符合 Apple 用戶端 CT 政策規定。可用的記錄視為「目前合格」。在合格狀態下至少 74 天後，記錄狀態隨即從合格轉換為可用。

Read-only（唯讀）

此類記錄在 Apple 平台上受信任，但是僅供讀取，意即此類記錄已停止接受送出憑證。唯讀的記錄視為「目前合格」。

Retired（已過期）

此類記錄在特定的過期時間戳記到期之前，在 Apple 平台上受到信任。如果在過期時間戳記到期之前核發 SCT，則已過期的記錄視為「曾經合格」。已過期的記錄不視為「目前合格」。

Rejected（已拒絕）

此類記錄目前及未來都不會在 Apple 平台上受到信任。已拒絕的記錄不視為「目前合格」或「曾經合格」。

加入程序

在 Apple 的憑證透明度記錄計劃接受某記錄後，會經過 90 天的監視期，以檢查此記錄是否符合 Apple 政策的規定。在此期間，記錄狀態為「Pending」（待處理）。

Apple 有權決定是否拒絕任何記錄。如果遭拒，記錄狀態會變為「Rejected」（已拒絕）。如果 Apple 在監視期間沒有發現任何問題，即可接受該記錄，此時記錄狀態會變為「Qualified」（合格）。

Apple 會持續監視記錄，確認其是否符合記錄計劃政策的規定。此時的記錄狀態可能為「Qualified」（合格）、「Usable」（可用）、「Read-only」（唯讀）或「Retired」（已過期）。

記錄隨時都有可能過期，原因可能出於 Apple 的決定，或是未符合記錄計劃政策的規定。在此情況下，記錄的狀態會變為「Retired」（已過期）。

申請加入

若要申請加入 Apple 的 CT 記錄計劃，請寄送電子郵件至 certificate-transparency-program@group.apple.com，並附上下列資訊：

• 記錄說明

• 接受憑證的政策，包括已接受的根憑證列表，並按主題 DN 和 SHA256 指紋排序

• 拒絕記錄憑證的政策

• 記錄的 MMD

• 聯絡資訊，包括兩位營運商業務聯絡人與兩位營運商代表聯絡人的電子郵件位址和電話號碼

• 可公開存取的 CT 記錄伺服器 URL（HTTP）

• CT 記錄公用密鑰（SubjectPublicKeyInfo ASN.1 架構的 DER 編碼）