Uso de SSL en una aplicación para iPhone-Cumplimiento de exportación

En realidad volví a Apple y resulta que cualquier aplicación que utiliza SSL hace necesita aprobación (desafortunadamente). Al parecer, hay algunas excepciones, como si la aplicación utiliza SSL solo para una sola transacción de pago.

Hay más información en Clasificación de Productos CCATS de Cifrado de Mercado Masivo para Aplicaciones iPhone en 8 Sencillos Pasos y Cumplimiento de exportación de cifrado de iPhone para Aplicaciones que realizan conexiones HTTPS (TLS) .

Todas estas respuestas son obsoletas a partir del 20 de septiembre de 2016. Acabo de hablar por teléfono con la gente de SNAP-R (gobierno), y dijeron que la nueva legislación llegó el 20 de septiembre. La nueva regulación elimina el requisito de registrar su aplicación simplemente porque utiliza cifrado.

Les describí mi aplicación (un juego), y dijeron que es un "EAR-99", lo que significa que no tengo que registrarme. Es probable que Apple esté a punto de actualizar su sitio web. Pero mientras tanto, si estás tratando de pasar por este proceso porque usas SSL/HTTPS, solo detente ahora. Ni siquiera tendrá éxito en completar los formularios, porque han cambiado significativamente.

Encontré este artículo de alguien que pasó por el proceso recientemente (diciembre de 2015) extremadamente útil. El consenso general parece ser que realmente necesita pasar por este proceso, incluso si solo está utilizando una llamada REST que utiliza SSL. Este artículo le ayudará a ejecutar a través del proceso rápidamente.

Https://carouselapps.com/2015/12/15/legally-submit-app-apples-app-store-uses-encryption-obtain-ern/

Ahora en noviembre de 2017...

Esto es algo legal en realidad, así que esto son indicadores de lo que he encontrado útil y cómo he interpretado las cosas. No lo tomes como un consejo (no lo es).

El FAQ de Apple como se menciona en otras respuestas aquí es un excelente punto de partida: https://itunespartner.apple.com/en/apps/faq/Managing%20Your%20Apps_Export%20Compliance

Esto lleva a hacer lo siguiente: En iTunes Connect, ve a tu aplicación. Escoge la pestaña "características" en la parte superior y seleccione 'Cifrado' en el lateral. Haga clic en 'Agregar documentación de cumplimiento de exportación para iOS' en la página principal. La primera pregunta dice: 'Export Compliance: Es tu aplicación diseñada para usar criptografía..."Elige " Sí". Las siguientes preguntas dicen (y copio y pego):

¿Su aplicación cumple con cualquiera de los siguientes:
(a) Reúne las condiciones para una o más exenciones previstas en la categoría 5, parte 2
(b) El uso del cifrado se limita al cifrado dentro del sistema operativo (iOS o macOS)
(c) Solo realiza llamadas a través de HTTPS
(d) App está disponible solo en los EE.UU. y/o Canadá

(c) es la referencia de estilo SSL (según su pregunta), así que seleccione Sí a esta pregunta. [Tenga en cuenta que la parte inferior de la guía en esta pantalla tiene un enlace al enlace de preguntas frecuentes anterior]

Al seleccionar 'Sí', uno de los cuadros de orientación emergente dice (y cito):

Si está haciendo uso de ATS o haciendo una llamada a HTTPS, tenga en cuenta que debe: presentar un informe de auto-clasificación de fin de año al gobierno de los Estados Unidos. Más información

Y de vuelta en las preguntas frecuentes, una cita clave es:

¿Por qué mi aplicación requiere una revisión de cifrado si no vivo en los Estados Unidos? ¿Puedo omitir la revisión de cifrado si solo libero mi aplicación en mi país de origen?

Su aplicación se cargará en un servidor de Apple en EE.UU., lo que significa que su aplicación se exportará desde EE. UU. y está sujeta a las leyes de exportación de EE. Este el requisito se aplica incluso si solo planea distribuir dentro de su propio país.

El último bit creo que responde al segundo bit de su pregunta... Todavía tiene que cumplir incluso si no está en los EE.UU. e incluso si no tiene la intención de distribuir fuera de su propio país...

Así que, a partir de lo que he leído hoy (en noviembre de 2017), si se utiliza SSL (HTTPS) en una aplicación iOS, incluso si fuera de los EE.UU., las casillas deben marcarse dentro de iTunes Connect... (El proceso comenzó bajo el ' características tab ' descrito anteriormente). Más allá de esto, entonces necesita hacer un informe anual de auto clasificación.

El enlace en el FAQ de Apple relacionado con esto está roto actualmente (mientras escribo esto), pero este enlace es útil: https://www.bis.doc.gov/index.php/policy-guidance/product-guidance/high-performance-computers/223-new-encryption/1238-how-to-file-an-annual-self-classification-report

Esta página incluye las direcciones de correo electrónico a las que enviar su informe (debe enviarlo a 2 lugares), cuándo debe ser enviado y qué formato e información debe ser enviado (un cuidadosamente creado muy prescrito .archivo csv) No pude encontrar esto con el bis.doc.gov motor de búsqueda, pero lo encontró utilizando un motor de búsqueda general en busca de 'informe de auto Clasificación de fin de año'. Así que si este enlace en particular muere en el futuro, esta búsqueda podría ayudar a encontrar cualquier reemplazo :)

En cuanto a los detalles de cómo crear esto .archivo csv para una aplicación de iOS que utiliza SSL No estoy seguro todavía-Espero tener éxito y editará este post con detalles si parece apropiado.

Hacia esto, sin embargo, en este documento vinculado: https://www.bis.doc.gov/index.php/documents/new-encryption/1651-740-17-enc-table/file (que es posible que necesite ampliar para leer) Me imagino que la línea relevante es la tercera (b) (1) como los requisitos de presentación coinciden. Se refiere a tener que

Presentar Supp. 8, parte 742, por correo electrónico

Este documento también tiene una columna ECCN, y estoy llegando a pensando que el número ECCN relevante es 5A002 dot something

Este siguiente documento tiene más detalles sobre cómo elegir el código ECCN correcto:

Https://www.bis.doc.gov/index.php/documents/new-encryption/1652-cat-5-part-2-quick-reference-guide/file

Leyendo esto, mi mejor conjetura actual es que si SSL se está utilizando como una pequeña parte de una aplicación, esto se relaciona con el código 5A002.a. 4

ACTUALIZACIÓN:

Así que en la parte inferior de bis.doc.gov guía la descripción para crear el .el archivo csv dice:

• La primera línea del informe anual de auto-clasificación debe consistir en las siguientes 12 entradas: NOMBRE DEL PRODUCTO, NÚMERO DE MODELO, FABRICANTE, ECCN, TIPO DE AUTORIZACIÓN, TIPO DE ARTÍCULO, NOMBRE DEL REMITENTE, NÚMERO DE TELÉFONO, DIRECCIÓN DE CORREO ELECTRÓNICO, DIRECCIÓN POSTAL, COMPONENTES NO ESTADOUNIDENSES, UBICACIONES DE FABRICACIÓN NO ESTADOUNIDENSES.
• No podrá dejarse ninguna entrada en blanco.
• NOMBRE DEL PRODUCTO y ECCN deben completarse.
• Para EL NÚMERO de MODELO y Si es necesario, indique "NINGUNO"o" N / A".
• Para TIPO DE AUTORIZACIÓN, ingrese ENC o MMKT.
• Para TIPO DE ELEMENTO, elija de la lista de tipos de elemento proporcionada en el Supp. 8 de la parte 742 a) 6).
• Los encabezados de columna NOMBRE DEL REMITENTE a través de UBICACIONES DE FABRICACIÓN NO estadounidenses se relacionan con la empresa en su conjunto, y por lo tanto deben ingresarse de la misma manera para cada producto (es decir, solo un punto de contacto, una respuesta' SÍ 'o' NO ' para saber si alguno de los productos reportados incorpora para el informe se requieren componentes de cifrado de origen no estadounidense, y una lista de ubicaciones de fabricación no estadounidenses). Duplicar esta información en cada fila de la hoja de cálculo
• El único uso permitido de una coma es el separador necesario entre las 12 entradas para cada elemento de línea. Las únicas comas permitidas son las que se insertan automáticamente durante la conversión de la hoja de cálculo.

Utilizando Suplemento No. 8 de la Parte 742 - Informe de Auto-Clasificación para el Cifrado Items for further guidance, I got to a .archivo csv como este:

PRODUCT NAME, MODEL NUMBER, MANUFACTURER, ECCN, AUTHORIZATION TYPE, ITEM TYPE, SUBMITTER NAME, TELEPHONE NUMBER, E-MAIL ADDRESS, MAILING ADDRESS, NON-U.S. COMPONENTS, NON-U.S. MANUFACTURING LOCATIONS
[my-app-name] iOS App,[my-App-version-number],SELF,5A002,ENC,Link encryption,[My-name],[my-phone-number],[my-email],[my address with no commas],YES,[my-location]

Tenga en cuenta que esto debe estar bien a bien formado .archivo CSV que esto no es del todo. Sugiero crear algo en una hoja de cálculo y guardarlo como a .csv

También tenga en cuenta que este no es un resultado aconsejado - es mi mejor interpretación como un individuo no cualificado que no ha tenido ningún consejo. Ejemplo .csv en la parte inferior de la bis.doc.gov la orientación me ayudó aún más y parecía sugerir que el ECCN podría ser 5A002 sin más detalles. El TIPO de ARTÍCULO tiene que ser elegido de la lista en el suplemento número 8 - algo más podría ajustarse mejor a la naturaleza de su aplicación. No estaba tan seguro del NÚMERO de MODELO, pero el ejemplo parecía que estaba usando descripciones de tipo de número de versión. Tal vez App Apple ID sería mejor aquí. Dado que es opcional, puede que no importe...

Me encontré con esta pregunta hoy temprano y pensé en volver para informar de mi experiencia.

Salida: http://tigelane.blogspot.com/2011/01/apple-itunes-export-restrictions-on.html para un procedimiento que funcionó bien para mí (asegúrese de leer todo el asunto incluyendo los comentarios there ha habido algunos cambios desde el post original, sobre todo para mejor, y la información actualizada está en los comentarios).

El proceso está bastante simplificado ahora (a excepción de Safari y Chrome no reconoce el certificado SSL de su propio sitio. Un poco irónico. :- ); Obtuve la aprobación unos 10-15 minutos después de enviar la información.

Supongo que esto se ha convertido en algo rutinario para ellos (al menos si solo estás usando SSL en lugar de algún tipo de cripto exótico).

Debido a que la aplicación está configurando y utilizando conexiones SSL seguras, se considera un producto de cifrado. Los controles de exportación de EE.UU. dependen de si se utiliza el cifrado, no donde se encuentra. No importa que esté utilizando una función incorporada en lugar de escribir la suya propia, usar una biblioteca comercial o usar un procesador especializado still sigue siendo un elemento de cifrado.

Echa un vistazo al sitio web del BIS en www.bis.doc.gov/encryption o llame a la mesa de ayuda al 202-482-0707 si desea analiza los detalles de tu app. Si descubre que necesita una clasificación de cifrado, el enlace para el SNAPR también está allí.