Política de Transparencia de certificados de Apple

Obtén información sobre cómo cumplir con la política de Transparencia de certificados de Apple.

Los certificados de autenticación del servidor de seguridad de la capa de transporte (TLS) de confianza pública deben cumplir con la política de Transparencia de certificados (CT) de Apple para evaluarse como de confianza en las plataformas de Apple.

Los certificados que no cumplan con nuestra política originarán un error en la conexión TLS, lo cual puede interrumpir la conexión de una app a Internet o la capacidad de Safari de conectarse sin problemas.

Requisitos de la política

La política de Apple requiere al menos dos sellos certificados firmados (SCT) emitidos desde un registro de CT apenas se hayan aprobado122 en el momento de la verificación. También requiere alguna de las siguientes opciones:

  • Al menos dos SCT procedentes de los registros de CT ya aprobados en el momento de la verificación con un SCT presentado mediante la extensión TLS o el método OCSP, o

  • Al menos un SCT incluido procedente de un registro ya aprobado en el momento de la verificación y al menos la cantidad de SCT de registros aprobados con anterioridad o ya aprobados en el momento de la verificación, según el período de validez, como se detalla en la tabla a continuación.

En el caso de los certificados con un valor notBefore mayor o igual al 21 de abril de 2021 (2021-04-21T00:00:00Z), la cantidad de SCT incluidos según la vigencia del certificado es la siguiente3:

Vigencia del certificado

N.º de SCT de registros separados

Cantidad máxima de SCT por operador de registros que se tiene en cuenta para el requisito de SCT

180 días o menos

2

1

De 181 a 398 días

3

2

En el caso de los certificados con un valor notBefore menor que el 21 de abril de 2021 (2021-04-21T00:00:00Z), la cantidad de SCT incluidos según la vigencia del certificado es la siguiente:

Vigencia del certificado

N.º de SCT de registros separados

Menos de 15 meses

2

15 a 27 meses

3

27 a 39 meses

4

Más de 39 meses

5

En el caso de los certificados con un valor notBefore igual o mayor que 20210421T00:00:00Z, los operadores de registros PUEDEN rechazar los certificados de clave pública que no contienen la extensión EKU con serverAuth.

Los operadores de registros DEBEN enviar un aviso por escrito con un mínimo de 45 días de anticipación a certificate-transparency-program@group.apple.com acerca de cualquier cambio en el conjunto aceptado de certificados de clave pública que aceptan sus registros.

Registros de CT

Descarga la lista de registros de CT vigentes y el esquema de la lista de registros de CT en formato JSON.

1. Para ser considerado “aprobado con anterioridad”, el sello del SCT se debe haber emitido desde un registro de CT con un estado “Qualified” (Calificado) o “Usable” (Utilizable) en el momento de la emisión del SCT.
2. Para conocer las definiciones de los estados del registro de CT, consulta el Programa de Registros de Transparencia de Certificados de Apple: https://support.apple.com/HT209255
3. El período de validez de un certificado (o la vigencia) se define en conformidad con el documento RFC 5280, sección 4.1.2.5, como “el período indicado desde la fecha en el campo notBefore hasta la fecha en el campo notAfter, incluida”.
a. El período de validez se mide teniendo en cuenta que un día equivale a 86 400 segundos. Cualquier tiempo superior a este indica un día adicional de validez.

La información acerca de los productos no fabricados por Apple o la de los sitios web independientes no controlados ni probados por Apple se ofrece sin ninguna recomendación o aprobación. Apple no asume ninguna responsabilidad respecto a la selección, el rendimiento o el uso de los sitios web o los productos de terceros. Apple no emite ninguna declaración sobre la precisión o la confiabilidad de los sitios web de terceros. Comunícate con el proveedor para obtener más información.

Fecha de publicación: