Krav til godkendte certifikater i iOS 13 og macOS 10.15
Få mere at vide om nye sikkerhedskrav til TLS-servercertifikater i iOS 13 og macOS 10.15.
Alle TLS-servercertifikater skal overholde disse nye sikkerhedskrav i iOS 13 og macOS 10.15:
TLS-servercertifikater og udstedende CA'er, der bruger RSA-nøgler, skal bruge nøglestørrelser på 2048 bits eller derover. Certifikater, der bruger RSA-nøgler, der er mindre end 2048 bits, er ikke længere godkendt til TLS.
TLS-servercertifikater og udstedende CA'er skal bruge en hash-algoritme fra SHA-2-serien i signaturalgoritmen. SHA-1-signerede certifikater er ikke længere godkendt til TLS.
TLS-servercertifikater skal vise serverens DNS-navn i Emnet alternativ navneendelse for certifikatet. DNS-navnet i CommonName på et certifikat er ikke længere godkendt.
Derudover skal alle TLS-servercertifikater, der er udstedt efter 1. juli 2019 (som angivet i feltet NotBefore på certifikatet), følge disse retningslinjer:
TLS-servercertifikatet skal indeholde en EKU-udvidelse (ExtendedKeyUsage), der indeholder id-kp-serverAuth OID.
TLS-servercertifikatet skal have en gyldighedsperiode på højest 825 dage (som angivet i felterne NotBefore og NotAfter på certifikatet).
Forbindelser til TLS-servere, der afviger fra disse nye krav, vil mislykkes og kan resultere i netværksfejl, fejl i apps og i, at websteder ikke indlæses i Safari i iOS 13 og macOS 10.15.