Apple 憑證透明度記錄計劃

本文說明 Apple 憑證透明度記錄計劃政策，以及申請加入的方式。

Apple 憑證透明度記錄計劃的目標是建立一組在 Apple 平台上受信任的憑證透明度（CT）記錄，以便為公開信任的 TLS 伺服器認證憑證提供簽署憑證時間戳記（SCT）。

計劃政策與需求

RFC 6962

若要符合加入 Apple 憑證透明度記錄計劃的資格，遵守 RFC 6962 的記錄必須：

• 按照 RFC 6962 的規定實行 CT。

• 在不同時間和/或對於不同方，不展示兩個以上具有衝突的雜湊樹（Merkle Tree）檢視圖。

• 根據 Apple 的測量結果，符合 99% 的 Apple 正常運行時間需求。

• 不指定超過 24 小時的最大合併延遲（MMD）時間。

• 包含已在 MMD 中為其建立 SCT 的憑證。

• 信任 Apple 信任憑證庫中包含的所有根 CA 憑證。

  • 記錄可信任 Apple 信任憑證庫中未包含的根。

遵守 RFC 6962 的記錄可以：

• 拒絕已到期的憑證。

• 拒絕已撤銷的憑證。

• 拒絕未包含 id-kp-serverAuth 延伸密鑰用法（EKU）的葉憑證。

  • 若其記錄接受的葉憑證類型有任何變更，記錄作業員須於至少 45 天前向 certificate-transparency-program@group.apple.com 提供書面通知。

STATIC-CT-API

若要符合加入 Apple 憑證透明度記錄計劃的資格，遵守 static-ct-api C2SP 規範的記錄必須：

• 按照「靜態憑證透明度 API，版本 1.0.0」的規定實行 CT。

• 在不同時間和/或對於不同方，不展示兩個以上具有衝突的雜湊樹（Merkle Tree）檢視圖。

• 根據 Apple 的測量結果，符合 99% 的 Apple 正常運行時間需求。

• 不指定超過 1 分鐘的最大合併延遲（MMD）時間。

• 包含已在 MMD 中為其建立 SCT 的憑證。

• 信任 Apple 信任憑證庫中包含的所有根 CA 憑證。

  • 記錄可信任 Apple 信任憑證庫中未包含的根。

遵守 static-ct-api C2SP 規範的記錄可以：

• 拒絕已到期的憑證。

• 拒絕已撤銷的憑證。

• 拒絕未包含 id-kp-serverAuth 延伸密鑰用法（EKU）的葉憑證。

  • 若其記錄接受的葉憑證類型有任何變更，記錄作業員須於至少 45 天前向 certificate-transparency-program@group.apple.com 提供書面通知。

Apple 平台上的記錄狀態

Apple 平台上包含的記錄可能會處於下列任一種狀態：

待處理

此類記錄已申請加入 Apple 的受信任記錄列表，但尚未被接受。待處理的記錄不視為「目前合格」或「曾經合格」。

Qualified（合格）

此類記錄已被 Apple 計劃接受，並準備分發至 Apple 平台。合格的記錄視為「目前合格」。

Usable（可用）

可以憑藉此類記錄中的 SCT 來符合 Apple 用戶端 CT 政策的規定。可用的記錄視為「目前合格」。在合格狀態下至少 74 天後，記錄狀態隨即從合格轉換為可用。

Readonly（唯讀）

此類記錄在 Apple 平台上受信任，但僅供讀取，意即此類記錄已停止接受送出憑證。唯讀的記錄視為「目前合格」。

Retired（已過期）

此類記錄在特定的過期時間戳記到期之前，在 Apple 平台上受到信任。如果在過期時間戳記到期之前核發 SCT，則已過期的記錄視為「曾經合格」。已過期的記錄不視為「目前合格」。

已拒絕

此類記錄目前及未來都不會在 Apple 平台上受到信任。已拒絕的記錄不視為「目前合格」或「曾經合格」。

加入程序

Apple 的憑證透明度記錄計劃接受某記錄後，會於監視期間檢查該記錄是否符合 Apple 政策。在此期間，記錄狀態為「Pending」（待處理）。

Apple 有權決定是否拒絕任何記錄。如果遭拒，記錄狀態會變為「Rejected」（已拒絕）。如果 Apple 在監視期間沒有發現任何問題，即可接受該記錄，此時記錄狀態會變為「Qualified」（合格）。

Apple 會持續監視記錄，確認其是否符合記錄計劃政策的規定。此時的記錄狀態可能為「Qualified」（合格）、「Usable」（可用）、「Readonly」（唯讀）或「Retired」（已過期）。

記錄隨時都有可能過期，原因可能出於 Apple 的決定，或是未符合記錄計劃政策的規定。在此情況下，記錄的狀態會變為「Retired」（已過期）。

申請加入

若要申請加入 Apple 的 CT 記錄計劃，請寄送電子郵件至 certificate-transparency-program@group.apple.com，並附上下列資訊：

• 記錄說明，包括：

  • 接受憑證的政策（如有）；

  • 拒絕記錄憑證的政策（如有）；

  • 已接受的根憑證列表，並按主題 DN 和 SHA256 指紋排序；以及

  • 記錄遵守的規範（RFC 6962 或 static-ct-api）。

• 可公開存取的 CT 記錄伺服器 URL（HTTP）。

• 記錄的公用密鑰（SubjectPublicKeyInfo ASN.1 架構的 DER 編碼）。

• 記錄的 MMD.

• 記錄中依時間切分的憑證到期範圍，包括：

  • end_exclusive 值，採用 UTC 的 ISO 8601 日期與時間格式；以及

  • start_inclusive 值，採用 UTC 的 ISO 8601 日期與時間格式。

• 聯絡資訊，包括兩位操作員業務聯絡人與兩位操作員代表聯絡人的電子郵件地址。