Zásady společnosti Apple ohledně transparentnosti certifikátů
Přečtěte si, jak splnit zásady společnosti Apple ohledně transparentnosti certifikátů.
Veřejně důvěryhodné certifikáty TLS (Transport Layer Security) pro ověřování serveru musí splňovat zásady společnosti Apple ohledně transparentnosti certifikátů (CT), aby je platformy Apple vyhodnotily jako důvěryhodné.
Certifikáty, které naše zásady nesplní, způsobí selhání spojení TLS a tím i spojení aplikace s internetovými službami nebo znemožní bezproblémové připojení prohlížeče Safari.
Požadavky zásady
Zásady společnosti Apple vyžadují alespoň dvě časové značky SCT (Signed Certificate Timestamps) vydané z protokolu CT – dříve schváleno1 nebo aktuálně schváleno2 v okamžiku kontroly – a buď:
nejméně dvě časové značky SCT vydané z protokolů CT „aktuálně schváleno“ s jednou značkou předanou prostřednictvím rozšíření TLS nebo značek OCSP Stapling; nebo
nejméně jednu vloženou časovou značku SCT z protokolu „aktuálně schváleno“ a alespoň stanovený počet značek SCT z protokolů „aktuálně schváleno“ nebo „dříve schváleno“, podle životnosti certifikátu, jak je uvedeno v tabulce níže.
U certifikátů s hodnotou notBefore větší nebo rovnou 21. dubnu 2021 (2021-04-21T00: 00: 00Z) závisí počet vložených značek SCT na životnosti certifikátu3:
Životnost certifikátu | Počet SCT ze samostatných protokolů | Maximální počet SCT podle operátora protokolu, které se započítávají do požadavku na SCT |
---|---|---|
180 dnů nebo méně | 2 | 1 |
181 až 398 dní | 3 | 2 |
U certifikátů s hodnotou notBefore menší než 21. dubna 2021 (2021-04-21T00: 00: 00) počet vložených SCT závisí na životnosti certifikátu:
Životnost certifikátu | Počet SCT ze samostatných protokolů |
---|---|
Méně než 15 měsíců | 2 |
15 až 27 měsíců | 3 |
27 až 39 měsíců | 4 |
Více než 39 měsíců | 5 |
U certifikátů s hodnotou notBefore rovnou nebo větší než 20210421T00:00:00Z MOHOU operátoři protokolu odmítnout listové certifikáty, které neobsahují EKU serverAuth.
Provozovatelé protokolů MUSEJÍ zaslat písemné oznámení o jakýchkoli změnách přijaté sady listových certifikátů, které jejich protokoly přijímají, nejméně 45 dnů předem na adresu certificate-transparency-program@group.apple.com.
Protokoly CT
Stáhněte si aktuální seznam protokolů CT a schéma protokolů CT ve formátu JSON.
Informace o produktech, které nevyrábí Apple, a o nezávislých webech, které Apple nemá pod kontrolou a netestuje je, jsou poskytovány bez doporučení nebo záruky za jejich obsah. Apple v souvislosti s výběrem, výkonem nebo použitím webů nebo produktů třetích stran nepřebírá žádnou odpovědnost. Apple nijak nezaručuje přesnost nebo spolehlivost webů třetích stran. Další informace vám poskytne příslušný výrobce.