Requisiti per i certificati attendibili in iOS 13 e macOS 10.15

Scopri di più sui requisiti di sicurezza per i certificati del server TLS in iOS 13 e macOS 10.15.

Tutti i certificati del server TLS devono soddisfare questi nuovi requisiti di sicurezza in iOS 13 e macOS 10.15:

  • I certificati del server TLS e le autorità di certificazione di emissione che utilizzano chiavi RSA devono utilizzare dimensioni di chiave maggiori o uguali a 2.048 bit. I certificati che utilizzano chiavi RSA di dimensioni inferiori a 2.048 bit non sono più considerati attendibili per TLS.
  • I certificati del server TLS e le autorità di certificazione di emissione devono utilizzare un algoritmo hash della gamma SHA-2 nell'algoritmo di firma. I certificati firmati SHA-1 non sono più considerati attendibili per TLS.
  • I certificati del server TLS devono presentare il nome DNS del server nell'estensione del nome alternativo del soggetto del certificato. I nomi DNS nel CommonName di un certificato non sono più considerati attendibili.

Inoltre, tutti i certificati del server TLS emessi dopo il 1° luglio 2019 (come indicato nel campo NotBefore del certificato) devono attenersi alle seguenti linee guida:

  • I certificati del server TLS devono contenere un'estensione ExtendedKeyUsage (EKU) contenente l'OID id-kp-serverAuth.
  • I certificati del server TLS devono avere un periodo di validità di massimo 825 giorni (come espresso nei campi NotBefore e NotAfter del certificato).

Le connessioni ai server TLS che violano questi nuovi requisiti avranno esito negativo e potrebbero causare errori di rete, malfunzionamento di app e mancato caricamento di siti web in Safari in iOS 13 e macOS 10.15.

Data di pubblicazione: