מדיניות שקיפות האישורים של Apple

למדו כיצד לציית למדיניות שקיפות האישורים של Apple.

אישורי אימות שרתים מסוג Transport Layer Security ‏(TLS) שנחשבים למהימנים באופן ציבורי, חייבים לעמוד במדיניות שקיפות האישורים (CT) של Apple כדי להיחשב למהימנים בפלטפורמות של Apple.

אישורים שלא יעמדו במדיניות שלנו, יגרמו לכשל בחיבור TLS שעלול לנתק חיבור של אפליקציה לשירותי אינטרנט או לפגוע ביכולת של Safari להתחבר בצורה חלקה.

דרישות המדיניות

המדיניות של Apple מחייבת לפחות שתי חותמות זמן חתומות (SCT) שהונפקו על ידי יומן CT – ברגע שאושרו1 או מאושרות בהווה2 בזמן הבדיקה — ואחת מבין האפשרויות הבאות:

  • לפחות שתי חותמות SCT מיומני CT מאושרים בהווה עם חותמת SCT אחת שמוצגת באמצעות הרחבת TLS או שידוך OCSP; או

  • חותמת SCT מוטבעת אחת לפחות מיומן מאושר בהווה ולפחות מספר חותמות SCT מיומנים מאושרים בהווה או שיאושרו בהמשך, על סמך תקופת התוקף שמפורטת בטבלה בהמשך.

עבור אישורים עם ערך notBefore גדול מ-21 באפריל 2021 (2021-04-21T00:00:00Z) או שווה לו, מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור3:

אורך חיי האישור

מס' חותמות SCT מיומנים נפרדים

מספר מרבי של חותמות SCT לכל מפעיל יומן שנספר במסגרת דרישת SCT

180 ימים או פחות

2

1

181 עד 398 ימים

3

2

עבור אישורים עם ערך 'לא לפני' קטן מ-21 באפריל 2021 (2021-04-21T00:00:00Z), מספר חותמות ה-SCT המוטבעות מבוסס על אורך חיי האישור:

אורך חיי האישור

מס' חותמות SCT מיומנים נפרדים

פחות מ-15 חודשים

2

15 עד 27 חודשים

3

27 עד 39 חודשים

4

יותר מ-39 חודשים

5

עבור אישורים עם ערך 'לא לפני' שווה ל-20210421T00:00:00Z או גדול ממנו, מפעילי יומן עשויים לדחות אישורי "עלה" (אישורי משתמש קצה) שלא מכילים את ה-EKU של serverAuth.

מפעילי יומן חייבים לשלוח הודעה בכתב, לפחות 45 ימים מראש, לכתובת certificate-transparency-program@group.apple.com על כל שינוי באוסף אישורי העלה שהיומנים שלהם מקבלים.

יומני CT

הורידו את רשימת יומני CT הנוכחית ואת הסכמה של רשימת יומני CT בפורמט JSON.

1. כדי להיחשב לחותמת זמן "ברגע שאושרה", חותמת הזמן ב-SCT חייבת להיות מונפקת מיומן CT בסטטוס "מאושר" או "ניתן לשימוש" במועד הנפקת ה-SCT.
2. למידע על הגדרות של סטטוס יומן CT, עיינו בתוכנית של יומן שקיפות האישורים של Apple בכתובת: https://support.apple.com/HT209255
3. תקופת התוקף (או אורך חיים) של אישור מוגדרת בהתאם לתקנה RFC 5280, סעיף 4.1.2.5 כ"פרק הזמן מתאריך notBefore ועד לתאריך notAfter, כולל".
א. תקופת התוקף נמדדת כאשר יום שווה ל-86,400 שניות. כל פרק זמן מעבר לכך ייחשב ליום תוקף נוסף.

מידע על מוצרים שאינם מיוצרים על ידי Apple, או על אתרי אינטרנט עצמאיים שאינם נמצאים תחת פיקוח של Apple ולא נבדקו על ידה, מסופק ללא המלצה או הבעת תמיכה. Apple אינה אחראית לבחירה, לביצועים או לשימוש באתרי אינטרנט או במוצרים של צד שלישי. Apple לא מתחייבת לגבי מידת הדיוק או האמינות של אתרי אינטרנט של צד שלישי. פנו לספק לקבלת מידע נוסף.

Published Date: