Applen varmenteiden läpinäkyvyyden käytäntö

Lue, miten Applen varmenteiden läpinäkyvyyden käytäntöä noudatetaan.

Transport Layer Security (TLS) -palvelintodentamisen julkisesti luotettujen varmenteiden on vastattava Applen varmenteiden läpinäkyvyyden käytäntöä, jotta ne arvioidaan luotettaviksi Applen alustoilla.

Tämän käytännön vastaiset varmenteet johtavat TLS-yhteyden epäonnistumiseen, mikä voi katkaista apin yhteyden internet-palveluihin tai estää Safaria muodostamasta saumattomasti yhteyttä.

Käytännön vaatimukset

Applen käytäntö vaatii vähintään kaksi aiemmin hyväksyttyä1 tai tarkistushetkellä hyväksyttyä2, CT-lokista myönnettyä allekirjoitusvarmenteen aikaleimaa (SCT) sekä

  • vähintään kaksi SCT:tä tarkistushetkellä hyväksytyistä CT-lokeista niin, että yksi SCT on esitetty TLS-laajennuksen tai OCSP Stapling -menetelmän avulla, tai

  • vähintään yhden upotetun SCT:n tarkistushetkellä hyväksytystä lokista ja vähintään SCT:iden määrän aiemmin tai tarkistushetkellä hyväksytyistä lokeista alla olevan taulukon mukaisesti kelpoisuusajan perusteella.

Varmenteen voimassaoloaikaan perustuva upotettujen SCT:iden määrä varmenteilla, joiden notBefore-arvo on suurempi tai yhtä suuri kuin 21. huhtikuuta 2021 (2021-04-21T00:00:00Z)3:

Varmenteen voimassaoloaika

SCT:iden määrä erillisistä lokeista

Lokioperaattorikohtainen SCT:iden enimmäismäärä, joka huomioidaan SCT-vaatimuksessa

Enintään 180 päivää

2

1

181–398 päivää

3

2

Varmenteen voimassaoloaikaan perustuva upotettujen SCT:iden määrä varmenteilla, joiden notBefore-arvo on pienempi kuin 21. huhtikuuta 2021 (2021-04-21T00:00:00Z):

Varmenteen voimassaoloaika

SCT:iden määrä erillisistä lokeista

Alle 15 kuukautta

2

15–27 kuukautta

3

27–39 kuukautta

4

Yli 39 kuukautta

5

Sellaisten varmenteiden tapauksessa, joiden notBefore-arvo on suurempi tai yhtä suuri kuin 20210421T00:00:00Z, lokioperaattorit VOIVAT hylätä lehtivarmenteet, joissa ei ole serverAuth EKU:ta.

Lokioperaattoreiden on LÄHETETTÄVÄ osoitteeseen certificate-transparency-program@group.apple.com vähintään 45 päivää ennakkoon kirjallinen ilmoitus kaikista muutoksista, jotka koskevat heidän lokiensa hyväksymiä lehtivarmenteita.

CT-lokit

Lataa tämänhetkinen CT-lokiluettelo ja CT-lokiluettelorakenne JSON-muodossa.

1. Jotta SCT katsotaan aiemmin hyväksytyksi, sen aikaleiman on oltava peräisin CT-lokista, jonka tila oli Qualified tai Usable SCT:n myöntämishetkellä.
2. Lisätietoja CT-lokin tilojen määritelmistä saat Applen varmenteiden läpinäkyvyyden lokiohjelmasta: https://support.apple.com/HT209255
3. Varmenteen voimassaoloaika tarkoittaa RFC 5280 ‑standardin kohdan 4.1.2.5 mukaisesti ajanjaksoa notBefore- ja notAfter-päivien välillä (sisältäen kyseiset päivät).
a. Voimassaoloaika mitataan siten, että yksi päivä on 86 400 sekuntia. Tämän ylittävä aika lasketaan voimassaolon lisäpäiväksi.

Tiedot tuotteista, jotka eivät ole Applen valmistamia, sekä tiedot itsenäisistä verkkosivustoista, jotka eivät ole Applen hallinnoimia tai testaamia, eivät sisällä suosituksia. Apple ei vastaa muiden valmistajien verkkosivustojen tai tuotteiden valikoimasta, toimivuudesta tai käytöstä. Apple ei takaa muiden valmistajien verkkosivustojen tarkkuutta tai luotettavuutta. Saat lisätietoja ottamalla yhteyttä myyjään.

Julkaisupäivämäärä: