Politique Certificate Transparency d’Apple

Découvrez les critères de conformité à la politique Certificate Transparency d’Apple.

Les certificats d’authentification de serveur TLS (Transport Layer Security) approuvés publiquement doivent être conformes à la politique Certificate Transparency (CT) d’Apple pour être approuvés sur les plates-formes Apple.

Les certificats non conformes à notre politique entraîneront un échec de la connexion TLS, risquant ainsi d’interrompre la connexion d’une app aux services Internet ou d’empêcher la connexion transparente de Safari.

Exigences de la politique

La politique d’Apple requiert au moins deux horodatages signés de certificat (SCT, Signed Certificate Timestamps) émis par un historique CT ayant déjà fait l’objet d’une approbation1 ou approuvé2 au moment de la vérification, et :

  • au moins deux SCT provenant d’historiques CT actuellement approuvés, avec l’un de ces horodatages présenté via l’extension TLS ou l’agrafage OCSP ; ou

  • au moins un SCT intégré provenant d’un historique actuellement approuvé et au moins le nombre d’horodatages de certificat signé provenant d’historiques actuellement approuvés ou ayant déjà fait l’objet d’une approbation, en fonction de la période de validité indiquée dans le tableau ci-dessous.

Pour les certificats dont la valeur notBefore est ultérieure ou égale au 21 avril 2021 (04-21-00T00:00:3Z), nombre de SCT intégrés en fonction de la durée de vie du certificat3 :

Durée de vie du certificat

Nbre de SCT provenant d’historiques distincts

Nombre maximal de SCT par opérateur d’historique pris en compte dans les exigences relatives aux SCT

180 jours ou moins

2

1

181 à 398 jours

3

2

Pour les certificats dont la valeur notBefore est antérieure au 21 avril 2021 (2021-04-21T00:00:00Z), nombre de SCT intégrés en fonction de la durée de vie du certificat :

Durée de vie du certificat

Nbre de SCT provenant d’historiques distincts

Moins de 15 mois

2

15 à 27 mois

3

27 à 39 mois

4

Plus de 39 mois

5

Pour les certificats dont la valeur notBefore est ultérieure ou égale à 20210421T00:00:00Z, les opérateurs d’historiques PEUVENT rejeter les certificats feuille qui ne contiennent pas l’extension EKU serverAuth.

Les opérateurs d’historiques DOIVENT informer par écrit au moins 45 jours à l’avance de toute modification apportée à l’ensemble de certificats feuille accepté par leurs historiques, à l’adresse certificate-transparency-program@group.apple.com.

Historiques CT

Téléchargez la liste actuelle des historiques CT et le schéma de la liste des historiques CT au format JSON.

1. Pour être considéré comme « ayant déjà fait l’objet d’une approbation », l’horodatage du SCT doit avoir été émis à partir d’un historique CT dont le statut est « Qualified » (Qualifié) ou « Usable » (Utilisable) au moment de l’émission du SCT.
2. Pour connaître les définitions d’état des historiques CT, veuillez consulter le programme de journalisation Certificate Transparency d’Apple à l’adresse https://support.apple.com/HT209255
3. La période de validité (ou durée de vie) d’un certificat est définie conformément à la RFC 5280, section 4.1.2.5, comme « la période allant de notBefore à notAfter, inclus ».
a. Pour la mesure de la période de validité, un jour est égal à 86 400 secondes. Toute période de temps supérieure indique un jour de validité supplémentaire.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: