AppleのCertificate Transparencyポリシー
AppleのCertificate Transparencyポリシーに準拠する方法についてご案内します。
公的に信頼されたTransport Layer Security(TLS)サーバ認証証明書は、AppleのCertificate Transparency(CT)ポリシーに準拠していない限り、Appleのプラットフォームで「信頼されている」という評価を得ることはできません。
Appleのポリシーに準拠しない証明書はTLS接続を確立できず、その結果、アプリでインターネットサービスに接続できなくなったり、Safariのシームレスな接続機能が損なわれたりする可能性があります。
ポリシーの要件
Appleのポリシーでは、CTログ(「以前承認済み1」または確認した時点で「現在承認済み1」のもの)から発行されたSCT(Signed Certificate Timestamps:署名済み証明書タイムスタンプ)が2つ以上必要です。また、以下のいずれかの条件が満たされている必要があります。
現在承認済みのCTログから発行されたSCTが最低2件あり、そのうち1つは、TLS拡張機能またはOCSP Staplingにより提示されること。
現在承認済みのログから発行された埋め込みのSCTが最低1件あり、以前または現在承認済みのログから発行されたSCTの数が、有効期間に基づく最低数(下表)を上回っていること。
少なくとも1つのSCTは、RFC 6962に準拠したログから発行する必要があります。
必要な埋め込みSCTの数は、次のような証明書の有効期間に基づいています2。
証明書の有効期間 | 異なるログからのSCTの数 | ログ運営者ごとのSCTの最大数(SCTの要件に加算) |
|---|---|---|
180日間以下 | 2 | 1 |
181~398日間 | 3 | 2 |
CTログ
現在のCTログリストおよび CTログリストのスキーマをJSONフォーマットでダウンロードできます。
CTログのステータスの定義については、次のAppleのCertificate Transparencyログプログラムを参照してください:https://support.apple.com/103703
証明書の有効期間は、RFC 5280のセクション4.1.2.5にそって「notBeforeからnotAfterまでの期間」と定義されています。
有効期間は、1日を86,400秒として換算した数値です。この時間数を少しでも上回った場合は、有効日数を1日上回ったことになります。
Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。