מדיניות שקיפות האישורים של Apple

למדו כיצד לציית למדיניות שקיפות האישורים של Apple.

אישורי אימות שרתים מסוג Transport Layer Security ‏(TLS) שנחשבים למהימנים באופן ציבורי, חייבים לעמוד במדיניות שקיפות האישורים (CT) של Apple כדי להיחשב למהימנים בפלטפורמות של Apple.

אישורים שלא יעמדו במדיניות שלנו, יגרמו לכשל בחיבור TLS שעלול לנתק חיבור של אפליקציה לשירותי אינטרנט או לפגוע ביכולת של Safari להתחבר בצורה חלקה. 

דרישות המדיניות

המדיניות של Apple מחייבת לפחות שתי חותמות זמן חתומות (SCT) שהונפקו על ידי יומן CT – ברגע שאושרו1 או מאושרות מהווה2 בזמן הבדיקה – ואחד מבין הפריטים הבאים:

  • לפחות שתי חותמות SCT מיומני CT מאושרים בהווה עם חותמת SCT אחת שמוצגת באמצעות הרחבת TLS או שידוך OCSP; או
  • חותמת SCT מוטבעת אחת לפחות מיומן מאושר בהווה ולפחות מספר חותמות SCT מיומנים מאושרים בהווה או שיאושרו בהמשך, על סמך תקופת התוקף שמפורטת בטבלה בהמשך.

עבור אישורים עם ערך 'לא לפני' גדול מ-21 באפריל 2021 (2021-04-21T00:00:00Z) או שווה לו, מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור3:

אורך חיי האישור מס' חותמות SCT מיומנים נפרדים מספר מרבי של חותמות SCT לכל מפעיל יומן שנספר במסגרת דרישת SCT
180 ימים או פחות 2 1
181 עד 398 ימים 3 2

עבור אישורים עם ערך 'לא לפני' קטן מ-21 באפריל 2021 (2021-04-21T00:00:00Z), מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור:

אורך חיי האישור מס' חותמות SCT מיומנים נפרדים
פחות מ-15 חודשים 2
15 עד 27 חודשים 3
27 עד 39 חודשים 4
יותר מ-39 חודשים 5

עבור אישורים עם ערך 'לא לפני' שווה ל-20210421T00:00:00Z או גדול ממנו, מפעילי יומן עשויים לדחות אישורי "עלה" (אישורי משתמש קצה) שלא מכילים את ה-EKU של serverAuth. 

מפעילי יומן חייבים להודיע לפחות 45 ימים מראש לשקיפות אישורים – program@group.apple.com – על כל שינוי באוסף אישורי העלה שהיומנים שלהם מקבלים.

יומני CT

הורידו את רשימת יומני CT הנוכחית וכן את הסכמה של רשימת יומני CT בפורמט JSON.

1. כדי להיחשב ל"אישור בהמשך", חותמת הזמן ב-SCT חייבת להיות מונפקת מיומן CT בסטטוס "מאושר" או "ניתן לשימוש" במועד הנפקת ה-SCT.

2. למידע על הגדרות של סטטוס יומן CT, עיינו בתוכנית של יומן שקיפות האישורים של Apple בכתובת: https://support.apple.com/he-il/HT209255

3. תקופת התוקף (או אורך חיים) של אישור מוגדרת בהתאם לתקנה RFC 5280, סעיף 4.1.2.5 כ"פרק הזמן מתאריך 'לא לפני' ועד לתאריך 'לא אחרי', כולל".

א. תקופת התוקף נמדדת כאשר יום שווה ל-86,400 שניות. כל פרק זמן מעבר לכך ייחשב ליום תוקף נוסף.

 

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

תאריך פרסום: