Krav til godkendte certifikater i iOS 13 og macOS 10.15

Få mere at vide om nye sikkerhedskrav til TLS-servercertifikater i iOS 13 og macOS 10.15.

Alle TLS-servercertifikater skal overholde disse nye sikkerhedskrav i iOS 13 og macOS 10.15:

• TLS-servercertifikater og udstedende CA'er, der bruger RSA-nøgler, skal bruge nøglestørrelser på 2048 bits eller derover. Certifikater, der bruger RSA-nøgler, der er mindre end 2048 bits, er ikke længere godkendt til TLS.

• TLS-servercertifikater og udstedende CA'er skal bruge en hash-algoritme fra SHA-2-serien i signaturalgoritmen. SHA-1-signerede certifikater er ikke længere godkendt til TLS.

• TLS-servercertifikater skal vise serverens DNS-navn i Emnet alternativ navneendelse for certifikatet. DNS-navnet i CommonName på et certifikat er ikke længere godkendt.

Derudover skal alle TLS-servercertifikater, der er udstedt efter 1. juli 2019 (som angivet i feltet NotBefore på certifikatet), følge disse retningslinjer:

• TLS-servercertifikatet skal indeholde en EKU-udvidelse (ExtendedKeyUsage), der indeholder id-kp-serverAuth OID.

• TLS-servercertifikatet skal have en gyldighedsperiode på højest 825 dage (som angivet i felterne NotBefore og NotAfter på certifikatet).

Forbindelser til TLS-servere, der afviger fra disse nye krav, vil mislykkes og kan resultere i netværksfejl, fejl i apps og i, at websteder ikke indlæses i Safari i iOS 13 og macOS 10.15.