Zásady společnosti Apple ohledně transparentnosti certifikátů

Přečtěte si, jak splnit zásady společnosti Apple ohledně transparentnosti certifikátů.

Veřejně důvěryhodné certifikáty TLS (Transport Layer Security) pro ověřování serveru musí splňovat zásady společnosti Apple ohledně transparentnosti certifikátů (CT), aby je platformy Apple vyhodnotily jako důvěryhodné.

Certifikáty, které naše zásady nesplní, způsobí selhání spojení TLS a tím i spojení aplikace s internetovými službami nebo znemožní bezproblémové připojení prohlížeče Safari.

Požadavky zásady

Zásady společnosti Apple vyžadují alespoň dvě časové značky SCT (Signed Certificate Timestamps) vydané z protokolu CT – dříve schváleno1 nebo aktuálně schváleno2 v okamžiku kontroly – a buď:

  • nejméně dvě časové značky SCT vydané z protokolů CT „aktuálně schváleno“ s jednou značkou předanou prostřednictvím rozšíření TLS nebo značek OCSP Stapling; nebo

  • nejméně jednu vloženou časovou značku SCT z protokolu „aktuálně schváleno“ a alespoň stanovený počet značek SCT z protokolů „aktuálně schváleno“ nebo „dříve schváleno“, podle životnosti certifikátu, jak je uvedeno v tabulce níže.

U certifikátů s hodnotou notBefore větší nebo rovnou 21. dubnu 2021 (2021-04-21T00: 00: 00Z) závisí počet vložených značek SCT na životnosti certifikátu3:

Životnost certifikátu

Počet SCT ze samostatných protokolů

Maximální počet SCT podle operátora protokolu, které se započítávají do požadavku na SCT

180 dnů nebo méně

2

1

181 až 398 dní

3

2

U certifikátů s hodnotou notBefore menší než 21. dubna 2021 (2021-04-21T00: 00: 00) počet vložených SCT závisí na životnosti certifikátu:

Životnost certifikátu

Počet SCT ze samostatných protokolů

Méně než 15 měsíců

2

15 až 27 měsíců

3

27 až 39 měsíců

4

Více než 39 měsíců

5

U certifikátů s hodnotou notBefore rovnou nebo větší než 20210421T00:00:00Z MOHOU operátoři protokolu odmítnout listové certifikáty, které neobsahují EKU serverAuth.

Provozovatelé protokolů MUSEJÍ zaslat písemné oznámení o jakýchkoli změnách přijaté sady listových certifikátů, které jejich protokoly přijímají, nejméně 45 dnů předem na adresu certificate-transparency-program@group.apple.com.

Protokoly CT

Stáhněte si aktuální seznam protokolů CT a schéma protokolů CT ve formátu JSON.

1. Aby bylo možné považovat časové razítko v SCT za „dříve schválené“, musí být vydané z protokolu CT, který měl v okamžiku vydání SCT stav „Kvalifikovaný“ nebo „Použitelný“.
2. Definice stavů protokolu CT najdete v protokolovacím programu Apple Certificate Transparency:https://support.apple.com/HT209255
3. Doba platnosti certifikátu (neboli životnost) je definovaná v souladu s RFC 5280, oddíl 4.1.2.5, jako „časové období od notBefore do notAfter, včetně.“
a. Při udávání doby platnosti se den považuje za odpovídající 86 400 sekundám. Jakákoli delší doba už představuje minimálně den navíc.

Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.

Datum zveřejnění: