מדיניות שקיפות האישורים של Apple

אישורי אימות שרתים מסוג Transport Layer Security ‏(TLS) שנחשבים למהימנים באופן ציבורי, חייבים לעמוד במדיניות שקיפות האישורים (CT) של Apple כדי להיחשב למהימנים בפלטפורמות של Apple.

אישורים שלא יעמדו במדיניות שלנו, יגרמו לכשל בחיבור TLS שעלול לנתק חיבור של אפליקציה לשירותי אינטרנט או לפגוע ביכולת של Safari להתחבר בצורה חלקה. 

המדיניות של Apple מחייבת לפחות שתי חותמות זמן חתומות (SCT) שהונפקו על ידי יומן CT – ברגע שאושרו¹ או מאושרות מהווה² בזמן הבדיקה – ואחד מבין הפריטים הבאים:

• לפחות שתי חותמות SCT מיומני CT מאושרים בהווה עם חותמת SCT אחת שמוצגת באמצעות הרחבת TLS או שידוך OCSP; או
• חותמת SCT מוטבעת אחת לפחות מיומן מאושר בהווה ולפחות מספר חותמות SCT מיומנים מאושרים בהווה או שיאושרו בהמשך, על סמך תקופת התוקף שמפורטת בטבלה בהמשך.

עבור אישורים עם ערך 'לא לפני' גדול מ-21 באפריל 2021 (2021-04-21T00:00:00Z) או שווה לו, מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור³:

עבור אישורים עם ערך 'לא לפני' קטן מ-21 באפריל 2021 (2021-04-21T00:00:00Z), מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור:

עבור אישורים עם ערך 'לא לפני' שווה ל-20210421T00:00:00Z או גדול ממנו, מפעילי יומן עשויים לדחות אישורי "עלה" (אישורי משתמש קצה) שלא מכילים את ה-EKU של serverAuth. 

מפעילי יומן חייבים להודיע לפחות 45 ימים מראש לשקיפות אישורים – program@group.apple.com – על כל שינוי באוסף אישורי העלה שהיומנים שלהם מקבלים.

הורידו את רשימת יומני CT הנוכחית וכן את הסכמה של רשימת יומני CT בפורמט JSON.

1. כדי להיחשב ל"אישור בהמשך", חותמת הזמן ב-SCT חייבת להיות מונפקת מיומן CT בסטטוס "מאושר" או "ניתן לשימוש" במועד הנפקת ה-SCT.

2. למידע על הגדרות של סטטוס יומן CT, עיינו בתוכנית של יומן שקיפות האישורים של Apple בכתובת: https://support.apple.com/he-il/HT209255

3. תקופת התוקף (או אורך חיים) של אישור מוגדרת בהתאם לתקנה RFC 5280, סעיף 4.1.2.5 כ"פרק הזמן מתאריך 'לא לפני' ועד לתאריך 'לא אחרי', כולל".

א. תקופת התוקף נמדדת כאשר יום שווה ל-86,400 שניות. כל פרק זמן מעבר לכך ייחשב ליום תוקף נוסף.