Apple의 인증서 투명성 정책

Apple의 인증서 투명성 정책을 준수하는 방법에 대해 알아봅니다.

공신력 있는 TLS(Transport Layer Security) 서버 인증서가 Apple 플랫폼에서 신뢰할 수 있는 인증서로 평가되려면 Apple의 CT(인증서 투명도) 정책을 준수해야 합니다.

Apple의 CT 정책을 준수하지 않는 인증서는 TLS 연결에 실패할 수 있으며, 이로 인해 앱의 인터넷 서비스 연결이 끊기거나 Safari가 원활하게 연결되지 않을 수 있습니다.

정책 요구 사항

Apple의 정책을 준수하려면 CT 로그에서 발급된 둘 이상의 SCT(서명된 인증서 타임스탬프, 검증 시점에 승인된 적이 있거나1 현재 승인된 상태2여야 함)와 다음 중 하나가 있어야 합니다.

  • TLS 확장 파일 또는 OCSP Stapling을 통해 제공된 SCT가 하나인 현재 승인된 CT 로그에서 발급된 둘 이상의 SCT.

  • 아래 표에 명시된 유효 기간을 기준으로 현재 승인된 로그에서 발급된 하나 이상의 내장 SCT 및 승인된 적이 있거나 현재 승인된 로그에서 발급된 SCT 수 이상.

notBefore 값이 2021년 4월 21일(2021-04-21T00:00:00Z) 이상인 인증서의 경우 인증서 수명3에 따른 내장 SCT 수:

인증서 수명

개별 로그의 SCT 수

SCT 요구 사항을 충족하는 로그 운영자당 최대 SCT 수

180일 이내

2

1

181~398일

3

2

notBefore 값이 2021년 4월 21일(2021-04-21T00:00:00Z) 미만인 인증서의 경우 인증서 수명에 따른 내장 SCT 수:

인증서 수명

개별 로그의 SCT 수

15개월 미만

2

15~27개월

3

27~39개월

4

39개월 초과

5

notBefore 값이 20210421T00:00:00Z 이상인 인증서의 경우 로그 운영자는 serverAuth EKU가 포함되지 않은 리프 인증서를 거부할 수 있습니다.

로그 운영자는 로그가 수락하는 승인된 리프 인증서 집합을 변경할 경우 적어도 45일 전에 certificate-transparency-program@group.apple.com으로 서면 통지해야 합니다.

CT 로그

JSON 포맷으로 작성된 최신 CT 로그 목록CT 로그 목록 스키마를 다운로드합니다.

1. '승인된 적이 있는' 것으로 간주되려면 SCT의 타임스탬프가 SCT 발급 시 CT 로그에서 'Qualified'(인증됨) 또는 'Usable'(사용 가능) 상태로 발급되어야 합니다.
2. CT 로그 상태의 정의는 다음과 같은 Apple의 인증서 투명성 로그 프로그램을 참조합니다. https://support.apple.com/HT209255
3. 인증서의 유효 기간(또는 수명)은 RFC 5280 섹션 4.1.2.5에 따라 'notBefore부터 notAfter까지의 기간'으로 정의됩니다.
a. 유효 기간은 1일을 86,400초로 보고 계산한 수치입니다. 이 시간을 조금이라도 초과할 경우 유효 기간을 1일 초과하게 됩니다.

Apple이 제조하지 않은 제품에 관한 정보 또는 Apple의 관리 또는 테스트 대상이 아닌 독립적인 웹 사이트는 권장 또는 보증 없이 제공되는 것입니다. Apple은 타사 웹 사이트 또는 제품에 대한 선택, 성능 및 사용과 관련하여 발생하는 결과에 대해 책임을 지지 않습니다. Apple은 타사 웹 사이트의 정확성 또는 신뢰도에 대해 어떠한 언급도 하지 않습니다. 자세한 내용은 해당 업체에 문의하시기 바랍니다.

게시일: