Zásady společnosti Apple ohledně transparentnosti certifikátů
Přečtěte si, jak splnit zásady společnosti Apple ohledně transparentnosti certifikátů.
Veřejně důvěryhodné certifikáty TLS (Transport Layer Security) pro ověřování serveru musí splňovat zásady společnosti Apple ohledně transparentnosti certifikátů (CT), aby je platformy Apple vyhodnotily jako důvěryhodné.
Certifikáty, které naše zásady nesplní, způsobí selhání spojení TLS a tím i spojení aplikace s internetovými službami nebo znemožní bezproblémové připojení prohlížeče Safari.
Požadavky zásady
Zásady společnosti Apple vyžadují alespoň dvě časové značky SCT (Signed Certificate Timestamps) vydané z protokolu CT – dříve schváleno1 nebo aktuálně schváleno1 v okamžiku kontroly – a buď:
nejméně dvě časové značky SCT vydané z protokolů CT „aktuálně schváleno“ s jednou značkou předanou prostřednictvím rozšíření TLS nebo značek OCSP Stapling; nebo
nejméně jednu vloženou časovou značku SCT z protokolu „aktuálně schváleno“ a alespoň stanovený počet značek SCT z protokolů „aktuálně schváleno“ nebo „dříve schváleno“, podle životnosti certifikátu, jak je uvedeno v tabulce níže.
Alespoň jedna značka SCT musí být vydána z protokolu kompatibilního s RFC 6962.
Počet požadovaných vložených značek SCT vychází ze životnosti certifikátu2:
Životnost certifikátu | Počet SCT z odlišných protokolů | Maximální počet SCT podle operátora protokolu, které se započítávají do požadavku na SCT |
|---|---|---|
180 dní nebo méně | 2 | 1 |
181 až 398 dní | 3 | 2 |
Protokoly CT
Stáhněte si aktuální seznam protokolů CT a schéma protokolů CT ve formátu JSON.
Definice stavů protokolů CT naleznete v programu Apple pro protokoly transparentnosti certifikátů: https://support.apple.com/103703
Doba platnosti certifikátu (neboli životnost) je definována v souladu s RFC 5280, oddíl 4.1.2.5, jako „časové období od notBefore do notAfter včetně.“
Při udávání doby platnosti se den považuje za odpovídající 86 400 sekundám. Jakákoli delší doba už představuje minimálně den navíc.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.