Požadavky na důvěryhodné certifikáty v iOS 13 a macOS 10.15

Přečtěte si o nových bezpečnostních požadavcích na TLS certifikáty v iOS 13 a macOS 10.15.

Všechny certifikáty TLS serverů musí v iOS 13 a macOS 10.15 dodržovat tyto nové bezpečnostní požadavky:

• Certifikáty TLS serverů a vydávající certifikační autority používající RSA klíče musí používat klíče veliké aspoň 2048 bitů. Certifikáty používající klíče menší než 2048 bitů už se u TLS nepovažují za důvěryhodné.

• Certifikáty TLS serverů a vydávající certifikační autority musí v podepisovacím algoritmu používat hashovací algoritmus z rodiny SHA-2. Certifikáty podepsané pomocí SHA-1 už se u TLS nepovažují za důvěryhodné.

• Certifikáty TLS serverů musí DNS název serveru uvádět v SAN (Subject Alternative Name) rozšíření certifikátu. DNS názvy uvedené v běžném názvu (CommonName) certifikátu už se nepovažují za důvěryhodné.

Navíc se musí všechny certifikáty TLS serverů vydané po 1. červenci 2019 (jak je uvedeno u certifikátu v poli NotBefore) řídit těmito pokyny:

• Certifikáty TLS serverů musí obsahovat rozšíření EKU (ExtendedKeyUsage) obsahující OID id-kp-serverAuth.

• Certifikáty TLS serverů můžou mít platnost maximálně 825 dní (jak je uvedeno u certifikátu v polích NotBefore a NotAfter).

Připojení k TLS serverům porušující tyto nové požadavky se nepodaří a může způsobit selhání sítě, pád aplikace nebo nenačtení webové stránky v Safari v iOS 13 nebo macOS 10.15.