Korzystanie z protokołu SSL w aplikacji na iPhone ' a - zgodność z eksportem

Wróciłem do Apple i okazało się, że każda aplikacja korzystająca z SSL wymaga zatwierdzenia (niestety). Najwyraźniej istnieją pewne wyjątki, na przykład jeśli aplikacja używa protokołu SSL tylko dla pojedynczej transakcji płatniczej.

Więcej informacji znajdziesz w Klasyfikacja towarów mass Market Encryption CCATS dla aplikacji iPhone w 8 prostych krokach i [[7]}zgodność eksportu szyfrowania iPhone ' a dla aplikacji tworzących połączenia HTTPS (TLS) .

Wszystkie te odpowiedzi są nieaktualne od 20 września 2016. Właśnie rozmawiałem z ludźmi ze SNAP-R (rząd) i powiedzieli, że nowe przepisy wylądowały 20 września. Nowe rozporządzenie usuwa wymóg rejestracji aplikacji tylko dlatego, że używa szyfrowania.

Opisałem im moją aplikację (grę), a oni powiedzieli, że to "EAR-99", co oznacza, że nie muszę się rejestrować. Prawdopodobnie Apple zamierza zaktualizować swoją stronę internetową. Ale w międzyczasie, jeśli próbujesz przejść przez ten proces, ponieważ używasz SSL / HTTPS, po prostu przestań. Nie uda Ci się nawet wypełnić formularzy, ponieważ znacznie się zmieniły.

Znalazłem ten artykuł od kogoś, kto przeszedł przez proces niedawno (Grudzień 2015) niezwykle pomocne. Ogólny konsensus wydaje się być taki, że naprawdę musisz przejść przez ten proces, nawet jeśli używasz połączenia REST, które wykorzystuje SSL. Ten artykuł pomoże Ci szybko przejść przez ten proces.

Https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

Teraz w listopadzie 2017...

To jest naprawdę legalna sprawa, więc jest to wskazówka do tego, co uznałem za przydatne i jak interpretowałem rzeczy. Nie traktuj tego jako Rady (nie jest).

Apple FAQ Jak wspomniano w innych odpowiedziach tutaj jest doskonałym miejscem wyjścia: https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Prowadzi to do następujących czynności: W iTunes Connect przejdź do aplikacji. Wybierz zakładkę "funkcje" u góry i wybierz "Szyfrowanie" z boku. Kliknij "Dodaj dokumentację zgodności Eksportu dla iOS" na stronie głównej. Pierwsze pytanie brzmi: "Export Compliance: czy Twoja aplikacja jest zaprojektowana do korzystania z kryptografii..."Wybierz " Tak". Następujące pytania mówią (a ja kopiuję i wklejam):

Czy Twoja aplikacja spełnia którekolwiek z poniższych kryteriów:
a) kwalifikuje się do jednego lub więcej zwolnień przewidzianych w kategorii 5 część 2
(b) Korzystanie z szyfrowania jest ograniczone do szyfrowania w systemie operacyjnym (iOS lub macOS)
(c) wykonuje połączenia tylko przez HTTPS
(d) aplikacja jest dostępna tylko w USA i / lub Kanadzie

(c) jest odniesieniem do stylu SSL( zgodnie z twoim pytaniem), więc wybierz Tak na to pytanie. [Uwaga na dole wskazówek na tym ekranie znajduje się link do powyższego FAQ link]

Wybierając "tak", jedno z okienek popup-guidance mówi (cytuję):

Jeśli korzystasz z ATS lub wykonujesz połączenie z HTTPS, pamiętaj, że jesteś zobowiązany do / align = "center" bgcolor = "# e0ffe0 " / prezydent USA / / align = center / Dowiedz się więcej

I z powrotem w FAQ, kluczowy cytat jest:

Dlaczego moja aplikacja wymaga przeglądu szyfrowania, jeśli nie mieszkam w Stanach Zjednoczonych? Czy mogę ominąć przegląd szyfrowania, jeśli zwolnię aplikację tylko w moim kraju?

[1]} Twoja aplikacja zostanie przesłana na serwer Apple w USA, co oznacza, że Twoja aplikacja zostanie wyeksportowana z USA i podlega przepisom eksportowym USA. To wymóg ma zastosowanie, nawet jeśli planujesz dystrybucję tylko w swoim kraju.

Tak więc, z tego, co przeczytałem dzisiaj (w listopadzie 2017), Jeśli używasz SSL (HTTPS) w aplikacji na iOS, nawet jeśli poza USA, pola muszą być zaznaczone w iTunes Connect... (Proces rozpoczął się pod " funkcje tab ' opisany powyżej). Poza tym musisz sporządzić roczny raport klasyfikacji własnej.

Link w Apple FAQ dotyczący tego jest obecnie uszkodzony( jak to piszę), ale ten link jest przydatny: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

Ta strona zawiera adresy e-mail do wysłania raportu (musisz wysłać go do 2 miejsca), kiedy należy go wysłać i jaki format i informacje należy przesłać (starannie stworzony bardzo przepisany .plik csv) Nie udało mi się znaleźć tego z bis.doc.gov wyszukiwarka, ale znalazł go za pomocą wyszukiwarki ogólnej szukając "raport klasyfikacji własnej na koniec roku". Więc jeśli ten konkretny link umrze w przyszłości, to wyszukiwanie może pomóc znaleźć zamiennik:)

Co do szczegółów, jak to zrobić .plik csv dla aplikacji na iOS przy użyciu SSL jeszcze nie jestem pewien-mam nadzieję, że się uda i będzie edytować ten post ze szczegółami, jeśli wydaje się to właściwe.

Do tego jednak, w tym linked doc: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (które być może trzeba powiększyć, aby przeczytać) Domyślam się, że odpowiednia linia To 3rd (b) (1), ponieważ wymagania dotyczące składania pasują. Odnosi się do konieczności

Submit Supp. 8, część 742, przez e-mail

Ten dokument ma również kolumnę ECCN, a ja dostaję się do myśląc, że odpowiedni numer ECCN to 5a002 kropka coś

Następny dokument zawiera więcej szczegółów na temat wyboru właściwego kodu ECCN:

Https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Czytając to, moje obecne najlepsze przypuszczenie jest takie, że jeśli SSL jest używany jako mała część aplikacji, odnosi się to do kodu 5A002.a. 4

UPDATE:

Więc na dnie bis.doc.gov wskazówki opis do tworzenia .plik csv mówi:

• pierwsza linia rocznego raportu samoklasyfikacji musi składać się z następujących 12 wpisów: Nazwa produktu, Numer modelu, producent, ECCN, Typ autoryzacji, Typ przedmiotu, Nazwa zgłaszającego, numer telefonu, adres E-MAIL, adres pocztowy, komponenty spoza USA, lokalizacje produkcyjne spoza USA.
• żaden wpis nie może być pusty.
• należy wypełnić nazwę produktu i ECCN.
• dla numeru modelu i Producent, w razie potrzeby, wpisać "brak" lub "N / A".
• dla typu autoryzacji wprowadź ENC lub MMKT.
• W przypadku typu przedmiotu wybierz z listy typów przedmiotów podanych w Supp. 8 do części 742 lit. a) pkt 6.
• nagłówki kolumn nazwa nadawcy za pośrednictwem miejsc produkcji spoza USA odnoszą się do firmy jako całości ,a zatem powinny być wprowadzane tak samo dla każdego produktu( tj. tylko jeden punkt kontaktowy, jedna odpowiedź " Tak " lub " nie " na to, czy którykolwiek ze zgłaszanych produktów zawiera do raportu wymagane są komponenty szyfrowania pochodzące spoza USA i jedna lista lokalizacji produkcyjnych spoza USA). Skopiuj te informacje do każdego wiersza arkusza kalkulacyjnego
• jedynym dozwolonym użyciem przecinka jest niezbędny separator pomiędzy 12 wpisami dla każdej pozycji w wierszu. Jedynymi dozwolonymi przecinkami są te wstawiane automatycznie podczas konwersji arkusza kalkulacyjnego.

Użycie suplementu nr 8 do części 742-raport Samooklasyfikacji do szyfrowania Pozycje dla dalszych wskazówek, dostałem się do .plik csv w ten sposób:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Zauważ, że to powinno być dobrze uformowane .plik csv, który nie jest do końca. Proponuję stworzyć coś w arkuszu kalkulacyjnym i zapisać jako .csv

Zauważ również, że nie jest to wynik zalecany - jest to moja najlepsza interpretacja jako osoby niewykwalifikowanej, która nie miała porady. Przykład .csv na dole bis.doc.gov wskazówki pomogły mi dalej i zdawały się sugerować, że ECCN może być 5A002 bez dalszych szczegółów. Typ artykułu musi być wybrany z listy w dodatku numer 8 - coś innego może lepiej pasować do charakteru Twojej aplikacji. Nie byłem tak pewien numeru modelu, ale przykład wyglądał tak, jakby używał opisów typu numeru wersji. Może App Apple ID byłoby lepsze tutaj. Biorąc pod uwagę, że to opcjonalne, to może nie mieć znaczenia...

Natknąłem się dziś na to pytanie i pomyślałem, że wrócę, aby zgłosić swoje doświadczenia.

Zobacz: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html dla procedury, która działała dobrze dla mnie (pamiętaj, aby przeczytać całość, w tym komentarze - były pewne zmiany od oryginalnego postu, głównie na lepsze, a zaktualizowane informacje są w komentarzach).

Proces jest teraz dość uproszczony (poza Safari i Chrome nie rozpoznaje certyfikatu SSL własnej witryny. Trochę ironiczne. :- ); Dostałem zgodę około 10-15 minut po przesłaniu informacji.

Domyślam się, że stało się to dla nich rutynową rzeczą (przynajmniej jeśli używasz tylko SSL, a nie jakiejś egzotycznej krypto).

Ponieważ aplikacja konfiguruje i używa bezpiecznych połączeń SSL, jest uważana za produkt szyfrujący. Kontrola eksportu w USA zależy od tego, czy używasz szyfrowania, a nie od tego, gdzie go znajdziesz. Nie ma znaczenia, że używasz wbudowanej funkcji zamiast pisać własną, używając komercyjnej biblioteki lub używając wyspecjalizowanego procesora-nadal jest to element szyfrujący.

Sprawdź stronę BIS na www.bis.doc.gov/encryption lub zadzwoń do help desk pod numer 202-482-0707, jeśli chcesz omów szczegóły swojej aplikacji. Jeśli okaże się, że potrzebujesz klasyfikacji szyfrowania, link do SNAPR też tam jest.