Politica sulla trasparenza dei certificati di Apple

Scopri come rispettare la politica sulla trasparenza dei certificati di Apple.

I certificati di autenticazione server TLS (Transport Layer Security) pubblicamente attendibili devono soddisfare la politica sulla trasparenza dei certificati di Apple (CT, Certificate Transparency) per essere considerati attendibili sulle piattaforme Apple.

I certificati non conformi alla nostra politica genereranno un errore di connessione TLS, con conseguente possibilità di interruzione della connessione di un'app ai servizi internet o di compromissione della capacità di Safari di stabilire una connessione senza problemi.

Requisiti della politica

La politica di Apple richiede almeno due marcature temporali dei certificati con firma (SCT, Signed Certificate Timestamp) emesse da un log CT che, al momento del controllo, risulti precedentemente approvato1 o attualmente approvato2 e:

  • Almeno due SCT emesse da log CT attualmente approvati, di cui una presentata tramite estensione TLS o OCSP Stapling; oppure

  • Almeno una SCT integrata emessa da un log attualmente approvato e il numero di SCT emesse da log precedentemente o attualmente approvati determinato dalla durata del periodo di validità, come indicato dettagliatamente nella tabella seguente.

Per i certificati con un valore notBefore superiore o uguale al 21 aprile 2021 (2021-04-21T00:00:00Z), il numero di SCT integrate in base alla durata del certificato3:

Durata del certificato

N. di SCT emesse da log separati

Numero massimo di SCT per operatore di log che vengono conteggiate per il requisito SCT

180 giorni o meno

2

1

Da 181 a 398 giorni

3

2

Per i certificati con un valore notBefore inferiore al 21 aprile 2021 (2021-04-21T00:00:00Z), il numero di SCT integrate in base alla durata del certificato:

Durata del certificato

N. di SCT emesse da log separati

Meno di 15 mesi

2

Da 15 a 27 mesi

3

Da 27 a 39 mesi

4

Più di 39 mesi

5

Per i certificati con un valore notBefore superiore o uguale a 20210421T00:00:00Z, gli operatori dei log POSSONO rifiutare i certificati foglia che non contengono l'EKU serverAuth.

Gli operatori dei log DEVONO fornire un preavviso scritto di almeno 45 giorni all'indirizzo certificate-transparency-program@group.apple.com per qualsiasi modifica al set di certificati foglia accettati dai propri log.

Log CT

Scarica l'elenco attuale dei log CT e lo schema dell'elenco dei log CT in formato JSON.

1. Per essere considerata “precedentemente approvata”, la marcatura temporale nella SCT deve essere stata emessa da un log CT con stato “Qualificato” o “Utilizzabile” al momento dell'emissione della SCT.
2. Per le definizioni dello stato del log CT, fai riferimento al programma per i log Certificate Transparency di Apple: https://support.apple.com/HT209255
3. Il periodo di validità (o la durata) di un certificato è definito in linea con RFC 5280, Sezione 4.1.2.5, come “il periodo di tempo da notBefore a notAfter, compreso”.
a. Il periodo di validità si misura con un giorno pari a 86.400 secondi. Un periodo di tempo superiore a questo valore indica un ulteriore giorno di validità.

Le informazioni su prodotti non fabbricati da Apple, o su siti web indipendenti non controllati o testati da Apple, non implicano alcuna raccomandazione o approvazione. Apple non si assume alcuna responsabilità in merito alla scelta, alle prestazioni o all'utilizzo di prodotti o siti web di terze parti. Apple non esprime alcuna opinione in merito alla precisione o all'affidabilità dei siti web di terze parti. Per ulteriori informazioni contatta il fornitore.

Data di pubblicazione: