Apple の Certificate Transparency ポリシー
Apple の Certificate Transparency ポリシーに準拠する方法についてご案内します。
公的に信頼された Transport Layer Security (TLS) サーバ認証証明書は、Apple の Certificate Transparency (CT) ポリシーに準拠していない限り、Apple のプラットフォームで「信頼されている」という評価を得ることはできません。
Apple のポリシーに準拠しない証明書は TLS 接続を確立できず、その結果、アプリでインターネットサービスに接続できなくなったり、Safari のシームレスな接続機能が損なわれたりする可能性があります。
ポリシーの要件
Apple のポリシーでは、CT ログ (「以前承認済み1」または確認した時点で「現在承認済み2」のもの) から発行された SCT (Signed Certificate Timestamps:署名済み証明書タイムスタンプ) が 2 つ以上必要です。また、以下のいずれかの条件が満たされている必要があります。
現在承認済みの CT ログから発行された SCT が最低 2 件あり、そのうち 1 つは、TLS 拡張機能または OCSP Stapling により提示されること。
現在承認済みのログから発行された埋め込みの SCT が最低 1 件あり、以前または現在承認済みのログから発行された SCT の数が、有効期間に基づく最低数 (下表) を上回っていること。
証明書の notBefore 値が 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) 以降である場合の、証明書の有効期間に基づく埋め込み SCT の数3:
証明書の有効期間 | 個別のログからの SCT の数 | ログ運営者ごとの SCT の最大数 (SCT の要件に加算) |
|---|---|---|
180 日間以下 | 2 | 1 |
181 ~ 398 日間 | 3 | 2 |
証明書の notBefore 値が 2021 年 4 月 21 日 (2021-04-21T00:00:00Z) より前である場合の、証明書の有効期間に基づく埋め込み SCT の数:
証明書の有効期間 | 個別のログからの SCT の数 |
|---|---|
15 か月未満 | 2 |
15 ~ 27 か月 | 3 |
27 ~ 39 か月 | 4 |
39 か月以上 | 5 |
証明書の notBefore 値が 20210421T00:00:00Z 以降である場合、serverAuth EKU を含まないリーフ証明書はログ運営者から拒否されることがあります。
ログ運営者は、運営するログが受け入れる承認済みリーフ証明書一式を変更するような場合には、少なくとも 45 日前までに書面にて certificate-transparency-program@group.apple.com に通知する必要があります。
CT ログ
現在の CT ログリストおよび CT ログリストのスキーマを JSON フォーマットでダウンロードできます。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。