Πολιτική διαφάνειας πιστοποιητικών της Apple

Μάθετε πώς μπορείτε να συμμορφωθείτε με την Πολιτική διαφάνειας πιστοποιητικών της Apple.

Τα δημοσίως αξιόπιστα πιστοποιητικά ελέγχου ταυτότητας διακομιστών Transport Layer Security (TLS) πρέπει να πληρούν τους όρους της Πολιτικής διαφάνειας πιστοποιητικών (Certificate Transparency – CT) της Apple προκειμένου να θεωρούνται αξιόπιστα στις πλατφόρμες της Apple.

Τα πιστοποιητικά που δεν συμμορφώνονται με την πολιτική μας θα προκαλούν αποτυχία σύνδεσης TLS, η οποία μπορεί να διακόψει τη σύνδεση μιας εφαρμογής στις υπηρεσίες διαδικτύου ή να εμποδίσει τη δυνατότητα απρόσκοπτης σύνδεσης του Safari.

Απαιτήσεις πολιτικής

Η πολιτική της Apple απαιτεί την έκδοση τουλάχιστον δύο χρονικών σφραγίδων υπογεγραμμένου πιστοποιητικού (Signed Certificate Timestamps – SCT) από ένα αρχείο καταγραφής CT – με έγκριση στο παρελθόν1 ή τρέχουσα έγκριση2 κατά τον χρόνο του ελέγχου – και είτε:

  • Τουλάχιστον δύο σφραγίδες SCT από αρχεία καταγραφής CT με τρέχουσα έγκριση, με τη μία SCT να παρουσιάζεται μέσω επέκτασης TLS ή της τεχνολογίας OCSP Stapling είτε

  • Τουλάχιστον μία ενσωματωμένη σφραγίδα SCT από ένα αρχείο καταγραφής με τρέχουσα έγκριση και τουλάχιστον τον αριθμό των SCT από τα αρχεία καταγραφής με έγκριση στο παρελθόν ή τρέχουσα έγκριση, ανάλογα με το χρονικό διάστημα ισχύος το οποίο ορίζεται αναλυτικά στον παρακάτω πίνακα.

Για τα πιστοποιητικά με τιμή notBefore μεγαλύτερη ή ίση με 21 Απριλίου 2021 (2021-04-21T00:00:00Z), ο αριθμός των ενσωματωμένων SCT ανάλογα με τη διάρκεια ζωής πιστοποιητικού3:

Διάρκεια ζωής πιστοποιητικού

Αριθμός SCT από διαφορετικά αρχεία καταγραφής

Έως # SCT ανά χειριστή αρχείων καταγραφής που προσμετρώνται στην απαίτηση SCT

180 ημέρες ή λιγότερες

2

1

181 έως 398 ημέρες

3

2

Για τα πιστοποιητικά με τιμή notBefore μικρότερη από τις 21 Απριλίου 2021 (2021-04-21T00:00:00Z), ο αριθμός των ενσωματωμένων SCT ανάλογα με τη διάρκεια ζωής πιστοποιητικού:

Διάρκεια ζωής πιστοποιητικού

Αριθμός SCT από διαφορετικά αρχεία καταγραφής

Λιγότερο από 15 μήνες

2

15 έως 27 μήνες

3

27 έως 39 μήνες

4

Περισσότερο από 39 μήνες

5

Για τα πιστοποιητικά με τιμή notBefore ίση με ή μεγαλύτερη από την τιμή 20210421T00:00:00Z, οι χειριστές αρχείων καταγραφής ΜΠΟΡΟΥΝ να απορρίψουν πιστοποιητικά φύλλου που δεν περιέχουν το serverAuth EKU.

Οι χειριστές αρχείων καταγραφής ΠΡΕΠΕΙ να παρέχουν γραπτή ειδοποίηση τουλάχιστον 45 ημέρες νωρίτερα στη διεύθυνση certificate-transparency-program@group.apple.com για οποιεσδήποτε αλλαγές στο αποδεκτό σύνολο πιστοποιητικών φύλλου που αποδέχεται το(α) αρχείο(α) καταγραφής τους.

Αρχεία καταγραφής CT

Πραγματοποιήστε λήψη της τρέχουσας λίστας αρχείων καταγραφής CT και του σχήματος λίστας αρχείων καταγραφής CT σε μορφή JSON.

1. Για να θεωρείται ότι διαθέτει «έγκριση στο παρελθόν», η χρονική σφραγίδα SCT πρέπει να έχει εκδοθεί από ένα αρχείο καταγραφής CT σε κατάσταση «Κατάλληλο» ή «Χρησιμοποιήσιμο» κατά τον χρόνο έκδοσης της σφραγίδας SCT.
2. Για τους ορισμούς των καταστάσεων αρχείων καταγραφής CT, ανατρέξτε στο πρόγραμμα αρχείων καταγραφής Certificate Transparency της Apple: https://support.apple.com/HT209255
3. Ως χρονικό διάστημα ισχύος (ή διάρκεια ζωής) ενός πιστοποιητικού ορίζεται σύμφωνα με το έγγραφο RFC 5280, ενότητα 4.1.2.5, «το χρονικό διάστημα από notBefore έως και notAfter».
α. Για την καταμέτρηση του χρονικού διαστήματος ισχύος, μία ημέρα ισούται με 86.400 δευτερόλεπτα. Οποιοδήποτε χρονικό διάστημα μεγαλύτερο από αυτό υποδεικνύει μια πρόσθετη ημέρα ισχύος.

Οι πληροφορίες για τα προϊόντα που δεν κατασκευάζονται από την Apple ή για ανεξάρτητους ιστότοπους τους οποίους δεν ελέγχει ούτε εξετάζει η Apple, παρέχονται χωρίς να αποτελούν σύσταση ούτε εγγύηση. Η Apple δεν φέρει καμία ευθύνη σχετικά με την επιλογή, την απόδοση ή τη χρήση ιστότοπων ή προϊόντων τρίτων. Η Apple δεν παρέχει καμία εγγύηση σχετικά με την ακρίβεια ή την αξιοπιστία ιστότοπων τρίτων. Επικοινωνήστε με τον προμηθευτή για περισσότερες πληροφορίες.

Ημερομηνία δημοσίευσης: