Política de transparencia de certificados de Apple

Descubre cómo cumplir con la política de transparencia de certificados de Apple.

Los certificados de autenticación del host TLS (seguridad de la capa de transporte) de confianza pública deben cumplir con la política de transparencia de certificados (CT) de Apple para ser considerados de confianza en las plataformas de Apple.

Los certificados que no cumplan con nuestra política originarán un error en la conexión TLS, lo cual puede interrumpir la conexión de una app con los servicios de internet o puede afectar a la capacidad de Safari para conectarse sin problemas.

Requisitos de la política

La política de Apple exige al menos dos sellos certificados firmados (SCT) emitidos desde un registro CT (aprobados con anterioridad12

  • Dos SCT como mínimo procedentes de registros CT aprobados en el momento de la verificación habiéndose presentado uno de los SCT a través de la extensión TLS o de OCSP Stapling.

  • O un SCT incrustado como mínimo procedente de un registro aprobado en el momento de la verificación y al menos el número de SCT procedentes de registros aprobados con anterioridad o aprobados en el momento de la verificación, en función del periodo de validez que se detalla en la tabla que aparece a continuación.

Para certificados con valor notBefore igual o posterior al 21 de abril de 2021 (2021-04-21T00:00:00Z), el número de SCT incrustado se basa en la duración del certificado:3

Duración del certificado

N.º de SCT procedentes de registros independientes

N.º máximo de SCT por operador de registros que cuentan para el requisito de SCT

180 días o menos

2

1

De 181 a 398 días

3

2

Para certificados con valor notBefore anterior al 21 de abril de 2021 (2021-04-21T00:00:00Z), el número de SCT incrustados en función de la duración del certificado:

Duración del certificado

N.º de SCT procedentes de registros independientes

Menos de 15 meses

2

De 15 a 27 meses

3

De 27 a 39 meses

4

Más de 39 meses

5

Para los certificados con valor notBefore igual o posterior a 20210421T00:00:00Z, los operadores de registros PUEDEN rechazar los certificados de clave pública que no contengan la extensión EKU con serverAuth.

Los operadores de registros DEBEN enviar un aviso por escrito con un mínimo de 45 días de antelación a certificate-transparency-program@group.apple.com sobre cualquier cambio en el conjunto de certificados de clave pública que aceptan sus registros.

Registros de CT

Descarga la lista actual de registros de CT y el esquema de la lista de registros de CT en formato JSON.

1. Para ser considerado "aprobado con anterioridad", el sello en el SCT debe haber sido emitido desde un registro CT con estado de calificado o de utilizable en el momento de emitirse el SCT.
2. Para conocer las definiciones de los estados de los registros CT, consulta el programa de registros de transparencia de certificados de Apple: https://support.apple.com/HT209255
3. El periodo de validez (o vida útil) de un certificado se define de acuerdo con RFC 5280, sección 4.1.2.5, como "el periodo de tiempo desde notBefore hasta notAfter, inclusives".
a. El periodo de validez se mide contando que un día tiene 86 400 segundos. Cualquier tiempo superior a esto indica un día adicional de validez.

La información sobre productos no fabricados por Apple, o sobre sitios web independientes no controlados ni comprobados por Apple, se facilita sin ningún tipo de recomendación ni respaldo. Apple no se responsabiliza de la selección, el rendimiento o el uso de sitios web o productos de otros fabricantes. Apple no emite ninguna declaración sobre la exactitud o fiabilidad de sitios web de otros fabricantes. Contacta con el proveedor para obtener más información.

Fecha de publicación: