Politique en matière à la transparence des certificats d’Apple

Découvrez comment respecter la politique relative à la transparence des certificats d’Apple.

Les certificats d’authentification de serveur du protocole de sécurité de la couche (TLS) doivent respecter la politique relative à la transparence des certificats (CT) d’Apple pour être évalués comme étant fiables sur les plateformes Apple.

Les certificats qui ne respectent pas notre politique donnent lieu à une connexion TLS échouée, ce qui peut interrompre la connexion d’une app aux services Internet ou empêcher Safari de se connecter de façon fluide.

Exigences de la politique

La politique d’Apple nécessite au moins deux horodatages de certificats signés (SCT) émis à partir d’un journal de CT (approuvés une fois1 ou actuellement approuvés2 au moment de la vérification) et :

  • soit au moins deux SCT tirés de journaux de CT actuellement approuvés avec un SCT présenté par extension TSL ou agrafage OCSP;

  • soit au moins un SCT intégré tiré d’un journal actuellement approuvé et au moins le nombre de SCT tirés de journaux approuvés une fois ou actuellement approuvés, selon les périodes de validité énoncées dans le tableau ci-dessous.

Pour les certificats possédant une valeur notBefore ultérieure ou égale au 21 avril 2021 (2021-04-21T00:00:00Z), le nombre de SCT intégré est basé sur la durée de vie du certificat3:

Durée de vie du certificat

Nombre de SCT tirés de journaux séparés

Nombre maximal de SCT par opérateur de journal comptant dans l’exigence en matière de SCT

180 jours ou moins

2

1

De 181 à 398 jours

3

2

Pour les certificats possédant une valeur notBefore antérieure au 21 avril 2021 (2021-04-21T00:00:00Z), le nombre de SCT intégré est basé sur la durée de vie du certificat3 :

Durée de vie du certificat

Nombre de SCT tirés de journaux séparés

Moins de 15 mois

2

De 15 à 27 mois

3

De 27 à 39 mois

4

Plus de 39 mois

5

Pour les certificats possédant une valeur notBefore égale ou ultérieure à 20210421T00:00:00Z, les opérateurs de journaux PEUVENT rejeter les certificats terminaux qui ne contiennent pas le serverAuth EKU.

Les opérateurs de journaux DOIVENT fournir un préavis écrit d’au moins 45 jours à certificate-transparency-program@group.apple.com en cas de modifications de l’ensemble accepté de certificats terminaux que leurs journaux acceptent.

Journaux de CT

Téléchargez la liste de journaux de CT actuelle ainsi que le schéma des listes de journaux de CT dans le format JSON.

1. Pour être considéré comme « approuvé une fois », l’horodatage du SCT doit avoir été émis à partir d’un journal de CT dont le statut était « Qualifié » ou « Utilisable » au moment de l’émission du SCT.
2. Pour les définitions des statuts des journaux de CT, veuillez consulter le programme des journaux de transparence des certificats d’Apple : https://support.apple.com/HT209255
3. La période de validité (ou la durée de vie) d’un certificat est définie dans la section 5280 de la RFC 3 : « the period of time from notBefore through notAfter, inclusive » (période allant de pasAvant à pasAprès inclusivement).
a. Une période de validité est mesurée en considérant qu’une journée est égale à 86 400 secondes. Toute période dépassant cette limite indique un jour de validité supplémentaire.

Les renseignements sur les produits qui ne sont pas fabriqués par Apple ou sur les sites Web indépendants qui ne sont pas gérés ou vérifiés par Apple sont fournis sans recommandation ni approbation de la part d’Apple. Apple se dégage de toute responsabilité quant à la sélection, au bon fonctionnement ou à l’utilisation de sites Web ou de produits de tiers. Apple ne fait aucune déclaration et n’offre aucune garantie quant à l’exactitude ou à la fiabilité de ces sites Web de tiers. Communiquez avec le vendeur pour de plus amples renseignements.

Date de publication: