Politique Certificate Transparency d’Apple
Découvrez les critères de conformité à la politique Certificate Transparency d’Apple.
Les certificats d’authentification de serveur TLS (Transport Layer Security) approuvés publiquement doivent être conformes à la politique Certificate Transparency (CT) d’Apple pour être approuvés sur les plates-formes Apple.
Les certificats non conformes à notre politique entraîneront un échec de la connexion TLS, risquant ainsi d’interrompre la connexion d’une app aux services Internet ou d’empêcher la connexion transparente de Safari.
Exigences de la politique
La politique d’Apple requiert au moins deux horodatages signés de certificat (SCT, Signed Certificate Timestamps) émis par un historique CT ayant déjà fait l’objet d’une approbation1 ou approuvé2 au moment de la vérification, et :
au moins deux SCT provenant d’historiques CT actuellement approuvés, avec l’un de ces horodatages présenté via l’extension TLS ou l’agrafage OCSP ; ou
au moins un SCT intégré provenant d’un historique actuellement approuvé et au moins le nombre d’horodatages de certificat signé provenant d’historiques actuellement approuvés ou ayant déjà fait l’objet d’une approbation, en fonction de la période de validité indiquée dans le tableau ci-dessous.
Pour les certificats dont la valeur notBefore est ultérieure ou égale au 21 avril 2021 (04-21-00T00:00:3Z), nombre de SCT intégrés en fonction de la durée de vie du certificat3 :
Durée de vie du certificat | Nbre de SCT provenant d’historiques distincts | Nombre maximal de SCT par opérateur d’historique pris en compte dans les exigences relatives aux SCT |
---|---|---|
180 jours ou moins | 2 | 1 |
181 à 398 jours | 3 | 2 |
Pour les certificats dont la valeur notBefore est antérieure au 21 avril 2021 (2021-04-21T00:00:00Z), nombre de SCT intégrés en fonction de la durée de vie du certificat :
Durée de vie du certificat | Nbre de SCT provenant d’historiques distincts |
---|---|
Moins de 15 mois | 2 |
15 à 27 mois | 3 |
27 à 39 mois | 4 |
Plus de 39 mois | 5 |
Pour les certificats dont la valeur notBefore est ultérieure ou égale à 20210421T00:00:00Z, les opérateurs d’historiques PEUVENT rejeter les certificats feuille qui ne contiennent pas l’extension EKU serverAuth.
Les opérateurs d’historiques DOIVENT informer par écrit au moins 45 jours à l’avance de toute modification apportée à l’ensemble de certificats feuille accepté par leurs historiques, à l’adresse certificate-transparency-program@group.apple.com.
Historiques CT
Téléchargez la liste actuelle des historiques CT et le schéma de la liste des historiques CT au format JSON.
Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.