Requisitos de certificados de confianza en iOS 13 y macOS 10.15

Obtén información sobre los nuevos requisitos de seguridad de los certificados de servidor TLS en iOS 13 y macOS 10.15.

Todos los certificados de servidor TLS deben cumplir estos nuevos requisitos de seguridad en iOS 13 y macOS 10.15:

• Los certificados de servidor TLS y las entidades de certificación emisoras que utilicen claves RSA deben utilizar claves con un tamaño igual o mayor que 2048 bits. TLS ya no confía en los certificados que utilicen claves RSA con un tamaño menor que 2048 bits.

• Los certificados de servidor TLS y las entidades de certificación emisoras deben utilizar un algoritmo hash de la familia SHA-2 en el algoritmo de firma. TLS ya no confía en los certificados firmados con SHA-1.

• Los certificados de servidor TLS deben presentar el nombre DNS del servidor en la extensión Nombre alternativo del sujeto del certificado. Los nombres DNS del campo CommonName de un certificado ya no son de confianza.

Además, todos los certificados de servidor TLS emitidos después del 1 de julio de 2019 (tal y como se indica en el campo NotBefore del certificado) deben seguir estas directrices:

• Los certificados de servidor TLS deben contener una extensión ExtendedKeyUsage (EKU) que incluya el OID de id-kp-serverAuth.

• Los certificados de servidor TLS deben tener un período de validez máximo de 825 días (tal y como se indica en los campos NotBefore y NotAfter del certificado).

Las conexiones a servidores TLS que incumplan estos nuevos requisitos fallarán y podrían causar fallos en la red y las apps, y errores de carga de los sitios web en Safari en iOS 13 y macOS 10.15.