متطلبات اعتماد الشهادة في iOS 13 وmacOS 10.15

تعرّف على متطلبات الأمان الجديدة لشهادات خادم TLS في iOS 13 وmacOS 10.15.

ينبغي توافق جميع شهادات خادم TLS مع متطلبات الأمان الجديدة هذه في iOS 13 وmacOS 10.15:

  • شهادات خادم TLS وإصدار CAs التي تستخدم مفاتيح RSA ينبغي أن تتمتع بحجم أكبر من أو يساوي 2048 بت. الشهادات التي تستخدم مفاتيح RSA والتي تتمتع بحجم أصغر من 2048 بت لن يتم اعتمادها بعد الآن لـ TLS.
  • شهادات خادم TLS وإصدارات CAs ينبغي أن تستخدم خوارزمية تجزئة من مجموعة SHA-2 في خوارزمية التوقيع. الشهادات ذات توقيع SHA-1 لن يتم اعتمادها بعد الآن لـ TLS.
  • شهادات خادم TLS ينبغي أن تتضمن اسم DNS الخاص بالخادم في ملحق "الاسم البديل للموضوع" الخاص بالشهادة. تتمتع أسماء DNS في CommonName الخاص بإحدى الشهادات بموثوقية أطول.

وبالإضافة إلى ذلك، فإن جميع شهادات خادم TLS التي تم إصدارها بعد 1 يوليو 2019 (كما هو موضح في حقل NotBefore في الشهادة) ينبغي أن تكون مطابقة للتوجيهات التالية:

  • شهادات خادم TLS ينبغي أن تحتوي على ملحق ‎ExtendedKeyUsage (EKU)‎ يتضمن id-kp-serverAuth OID.
  • شهادات خادم TLS ينبغي أن تتمتع بفترة صلاحية تصل إلى 825 يومًا أو أقل (كما هو موضح في حقلي NotBefore وNotAfter في الشهادة).

الاتصالات بخوادم TLS التي لا تفي بهذه المتطلبات الجديدة ستفشل، وربما تؤدي إلى حدوث أعطال في الشبكة وتعطل التطبيقات وتعذر تحمل مواقع الويب في Safari في iOS 13 وmacOS 10.15.

تاريخ النشر: