Requisitos para usar certificados de confianza en iOS 13 y macOS 10.15

Obtén información sobre los requisitos de seguridad nuevos para usar certificados de servidor TLS en iOS 13 y macOS 10.15.

Todos los certificados de servidor TLS deben cumplir con los siguientes requisitos de seguridad nuevos en iOS 13 y macOS 10.15:

• Los certificados de servidor TLS y las entidades de certificación emisoras que usen claves RSA deben usar tamaños de clave superiores o equivalentes a 2048 bits. Los certificados que usen tamaños de clave RSA inferiores a 2048 bits ya no serán de confianza para TLS.

• Los certificados de servidor TLS y las entidades de certificación emisoras deben usar un algoritmo hash de la familia SHA-2 en el algoritmo de firma. Los certificados firmados con SHA-1 ya no son de confianza para TLS.

• Los certificados de servidor TLS deben presentar el nombre DNS del servidor en la extensión “Nombre alternativo del sujeto” del certificado. Los nombres DNS en el CommonName de un certificado ya no son de confianza.

Además, todos los certificados de servidor TLS emitidos después del 1 de julio de 2019 (tal y como se indica en el campo NotBefore del certificado) deben cumplir con los siguientes lineamientos:

• Los certificados de servidor TLS deben contener una extensión ExtendedKeyUsage (EKU) que incluya el OID id-kp-serverAuth.

• Los certificados de servidor TLS deben tener un período de validez de 825 días o menos (tal y como se expresa en los campos NotBefore y NotAfter del certificado).

Las conexiones a servidores TLS que no cumplan con estos nuevos requisitos fallarán y pueden provocar fallas de red y problemas con las apps, así como también pueden provocar que los sitios web no se carguen en Safari desde un dispositivo con iOS 13 o una computadora con macOS 10.15.