Configuration requise pour les certificats de confiance dans iOS 13 et macOS 10.15

Découvrez les nouvelles exigences en matière de sécurité pour les certificats de serveur TLS dans iOS 13 et macOS 10.15.

Tous les certificats de serveur TLS doivent respecter ces nouvelles exigences en matière de sécurité dans iOS 13 et macOS 10.15 :

  • Les certificats de serveur TLS et les autorités de certification émettrices utilisant des clés RSA doivent utiliser des tailles de clés supérieures ou égales à 2048 bits. Les certificats utilisant des tailles de clés RSA inférieures à 2048 bits ne sont plus approuvés pour TLS.
  • Les certificats de serveur TLS et les autorités de certification émettrices doivent utiliser un algorithme de hachage de la famille SHA-2 dans l’algorithme de signature. Les certificats signés SHA-1 ne sont plus approuvés pour TLS.
  • Les certificats de serveur TLS doivent présenter le nom DNS du serveur dans l’extension Subject Alternative Name du certificat. Les noms DNS dans le CommonName d’un certificat ne sont plus approuvés.

En outre, tous les certificats de serveur TLS émis après le 1er juillet 2019 (comme indiqué dans le champ NotBefore du certificat) doivent respecter les consignes suivantes :

  • Les certificats de serveur TLS doivent contenir une extension ExtendedKeyUsage (EKU) contenant l’OID id-kp-serverAuth.
  • Les certificats de serveur TLS doivent avoir une période de validité de 825 jours ou moins (comme indiqué dans les champs NotBefore et NotAfter du certificat).

Les connexions aux serveurs TLS qui ne respecteront pas ces nouvelles exigences échoueront et risquent de provoquer des pannes de réseau, des échecs d’applications et l’échec de chargement des sites Web dans Safari sous iOS 13 et macOS 10.15.

Date de publication: