Política de transparencia de certificados de Apple
Descubre cómo cumplir con la política de transparencia de certificados de Apple.
Los certificados de autenticación del host TLS (seguridad de la capa de transporte) de confianza pública deben cumplir con la política de transparencia de certificados (CT) de Apple para ser considerados de confianza en las plataformas de Apple.
Los certificados que no cumplan con nuestra política originarán un error en la conexión TLS, lo cual puede interrumpir la conexión de una app con los servicios de internet o puede afectar a la capacidad de Safari para conectarse sin problemas.
Requisitos de la política
La política de Apple exige al menos dos sellos certificados firmados (SCT) emitidos desde un registro CT (aprobados con anterioridad12
Dos SCT como mínimo procedentes de registros CT aprobados en el momento de la verificación habiéndose presentado uno de los SCT a través de la extensión TLS o de OCSP Stapling.
O un SCT incrustado como mínimo procedente de un registro aprobado en el momento de la verificación y al menos el número de SCT procedentes de registros aprobados con anterioridad o aprobados en el momento de la verificación, en función del periodo de validez que se detalla en la tabla que aparece a continuación.
Para certificados con valor notBefore igual o posterior al 21 de abril de 2021 (2021-04-21T00:00:00Z), el número de SCT incrustado se basa en la duración del certificado:3
Duración del certificado | N.º de SCT procedentes de registros independientes | N.º máximo de SCT por operador de registros que cuentan para el requisito de SCT |
---|---|---|
180 días o menos | 2 | 1 |
De 181 a 398 días | 3 | 2 |
Para certificados con valor notBefore anterior al 21 de abril de 2021 (2021-04-21T00:00:00Z), el número de SCT incrustados en función de la duración del certificado:
Duración del certificado | N.º de SCT procedentes de registros independientes |
---|---|
Menos de 15 meses | 2 |
De 15 a 27 meses | 3 |
De 27 a 39 meses | 4 |
Más de 39 meses | 5 |
Para los certificados con valor notBefore igual o posterior a 20210421T00:00:00Z, los operadores de registros PUEDEN rechazar los certificados de clave pública que no contengan la extensión EKU con serverAuth.
Los operadores de registros DEBEN enviar un aviso por escrito con un mínimo de 45 días de antelación a certificate-transparency-program@group.apple.com sobre cualquier cambio en el conjunto de certificados de clave pública que aceptan sus registros.
Registros de CT
Descarga la lista actual de registros de CT y el esquema de la lista de registros de CT en formato JSON.
La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.