Απαιτήσεις για αξιόπιστα πιστοποιητικά στο iOS 13 και το macOS 10.15
Μάθετε σχετικά με τις νέες απαιτήσεις ασφάλειας για πιστοποιητικά διακομιστή TLS στο iOS 13 και το macOS 10.15.
Όλα τα πιστοποιητικά διακομιστή TLS πρέπει να πληρούν τις ακόλουθες νέες απαιτήσεις ασφάλειας στο iOS 13 και το macOS 10.15:
Τα πιστοποιητικά διακομιστή TLS και οι αρχές έκδοσης πιστοποιητικών που χρησιμοποιούν κλειδιά RSA πρέπει να χρησιμοποιούν μεγέθη κλειδιών μεγαλύτερα ή ίσα με 2048 bit. Τα πιστοποιητικά που χρησιμοποιούν μεγέθη κλειδιών RSA μικρότερα από 2048 bit δεν θεωρούνται πλέον αξιόπιστα για TLS.
Τα πιστοποιητικά διακομιστή TLS και οι αρχές έκδοσης πιστοποιητικών πρέπει να χρησιμοποιούν έναν αλγόριθμο κατακερματισμού από την οικογένεια SHA-2 στον αλγόριθμο υπογραφής. Τα υπογεγραμμένα πιστοποιητικά SHA-1 δεν θεωρούνται πλέον αξιόπιστα για TLS.
Τα πιστοποιητικά διακομιστή TLS πρέπει να εμφανίζουν το όνομα DNS του διακομιστή στην επέκταση εναλλακτικού ονόματος θέματος (Subject Alternative Name) του πιστοποιητικού. Τα ονόματα DNS στο CommonName ενός πιστοποιητικού δεν θεωρούνται πλέον αξιόπιστα.
Επιπλέον, όλα τα πιστοποιητικά διακομιστή TLS που έχουν εκδοθεί μετά την 1η Ιουλίου 2019 (όπως υποδεικνύεται στο πεδίο NotBefore του πιστοποιητικού) πρέπει να συμμορφώνονται με τις ακόλουθες οδηγίες:
Τα πιστοποιητικά διακομιστή TLS πρέπει να περιέχουν μια επέκταση ExtendedKeyUsage (EKU) που περιέχει το αναγνωριστικό αντικειμένου (OID) id-kp-serverAuth.
Τα πιστοποιητικά διακομιστή TLS πρέπει να έχουν χρονικό διάστημα ισχύος 825 ημερών ή μικρότερο (όπως εκφράζεται στα πεδία NotBefore και NotAfter του πιστοποιητικού).
Οι συνδέσεις σε διακομιστές TLS που παραβιάζουν αυτές τις νέες απαιτήσεις θα αποτυγχάνουν και ενδέχεται να προκαλούν αποτυχίες δικτύου και εφαρμογών, καθώς και την αδυναμία φόρτωσης ιστότοπων στο Safari σε iOS 13 και macOS 10.15.