Over aanstaande beperkingen voor vertrouwde certificaten
In onze niet-nalatende inspanningen om de webbeveiliging voor onze gebruikers te verbeteren, beperkt Apple de maximaal toegestane levensduur van TLS-servercertificaten.
Wat verandert er?
TLS-servercertificaten die zijn uitgegeven op of na 1 september 2020 00:00 GMT/UTC mogen geen geldigheidsduur hebben van langer dan 398 dagen.
Deze wijziging betreft uitsluitend TLS-servercertificaten die zijn uitgegeven door de root-CA's die vooraf zijn geïnstalleerd in iOS, iPadOS, macOS, watchOS en tvOS. Daarnaast betreft deze wijziging alleen de TLS-servercertificaten die zijn uitgegeven op of na 1 september 2020. Voor alle certificaten die vóór die datum zijn uitgegeven, heeft deze wijziging geen gevolgen.
Verbindingen met TLS-servers die niet voldoen aan deze nieuwe vereisten, zullen niet tot stand komen. Dit kan leiden tot netwerk- en app-storingen en voorkomen dat websites worden geladen.
Opmerkingen
De definitie van de geldigheidsduur stemt overeen met RFC 5280, Sectie 4.1.2.5, als "de periode van 'Niet voor' tot en met 'Niet na'".
De periode van 398 dagen wordt gemeten in dagen, waarbij een dag een duur heeft van 86.400 seconden. Elke seconde langer betekent een extra geldigheidsdag.
Wij bevelen aan om certificaten uit te geven met een maximale geldigheidsduur van 397 dagen.
Deze wijziging heeft geen gevolgen voor certificaten die zijn uitgegeven door root-CA's die zijn toegevoegd door de gebruiker of de beheerder.