Requisitos para usar certificados de confianza en iOS 13 y macOS 10.15

Obtén información sobre los requisitos de seguridad nuevos para usar certificados de servidores TLS en iOS 13 y macOS 10.15.

Todos los certificados de servidores TLS deben cumplir con los siguientes requisitos de seguridad nuevos en iOS 13 y macOS 10.15:

  • Los certificadores de servidores TLS y la emisión de CA a través de claves RSA deben usar tamaños de clave superiores o equivalentes a 2048 bits. Los certificados que usen tamaños de clave RSA inferiores a 2048 bits ya no serán de confianza para TLS.
  • Los certificadores de servidores TLS y la emisión de CA deben usar un algoritmo hash de la familia SHA-2 en el algoritmo de firma. Los certificados firmados con SHA-1 ya no son de confianza para TLS.
  • Los certificados de servidores TLS deben presentar el nombre DNS del servidor en la extensión “Nombre alternativo del sujeto” del certificado. Los nombres DNS en el CommonName de un certificado ya no son de confianza.

Además, todos los certificados de servidores TLS emitidos después del 1 de julio de 2019 (tal y como se indica en el campo NotBefore del certificado) deben cumplir con los siguientes lineamientos:

  • Los certificados de servidores TLS deben contener una extensión ExtendedKeyUsage (EKU) que, a su vez, contenga el OID id-kp-serverAuth.
  • Los certificados de servidores TLS deben tener un período de validez de 825 días o menos (tal y como se expresa en los campos NotBefore y NotAfter del certificado).

Las conexiones a servidores TLS que no cumplan con estos nuevos requisitos fallarán y pueden provocar fallas de red y problemas con las apps, así como también pueden provocar que los sitios web no se carguen en Safari desde un dispositivo con iOS 13 o una computadora con macOS 10.15.

Fecha de publicación: