Het Certificate Transparency-beleid (CT-beleid) van Apple
Lees hier hoe je voldoet aan het Certificate Transparency-beleid (CT-beleid) van Apple.
Openbaar vertrouwde Transport Layer Security-certificaten (TLS) voor serveridentiteitscontrole dienen te voldoen aan het Certificate Transparency-beleid (CT-beleid) van Apple om op Apple platforms als vertrouwd te worden aangemerkt.
Certificaten die niet aan ons beleid voldoen, leiden tot het mislukken van de TLS-verbinding, wat dan weer tot gevolg kan hebben dat de verbinding van een app met internetvoorzieningen wordt verbroken of dat Safari geen naadloze verbinding kan maken.
Vereisten van het beleid
Het beleid van Apple vereist ten minste twee SCT's (Signed Certificate Timestamps) die zijn afgegeven vanuit een CT-logboek (eenmaal goedgekeurd1 dan wel momenteel goedgekeurd1 op het moment van de controle), en ofwel:
Ten minste twee SCT's uit momenteel goedgekeurde CT-logboeken waarvan één SCT wordt aangeboden via een TLS-extensie of via OCSP Stapling, ofwel
Ten minste één ingesloten SCT uit een momenteel goedgekeurd logboek en ten minste het aantal SCT's uit eenmaal of momenteel goedgekeurde logboeken, gebaseerd op de geldigheidsduur zoals aangegeven in de tabel hieronder.
Ten minste één SCT moet zijn afgegeven vanuit een logboek dat voldoet aan RFC 6962.
Het aantal ingesloten SCT's dat nodig is, is afhankelijk van de geldigheidsduur van het certificaat2:
Geldigheidsduur van certificaat | Aantal SCT's uit verschillende logboeken | Maximaal aantal SCT's per logboekoperator dat meetelt voor de SCT-vereiste |
|---|---|---|
180 dagen of minder | 2 | 1 |
181 tot 398 dagen | 3 | 2 |
CT-logboeken
Download de huidige CT-logboekenlijst en het CT-logboekenlijstschema in de JSON-structuur.
Voor definities van de status van CT-logboeken raadpleeg je het Certificate Transparency-logprogramma van Apple: https://support.apple.com/103703
De geldigheidsduur (of levensduur) van een certificaat wordt gedefinieerd in overeenstemming met RFC 5280, sectie 4.1.2.5, als 'de periode van notBefore tot en met notAfter'.
De geldigheidsperiode wordt gemeten in dagen, waarbij een dag een duur heeft van 86.400 seconden. Elke seconde langer betekent een extra geldigheidsdag.
Informatie over producten die niet door Apple zijn gemaakt of externe websites die niet door Apple worden beheerd of getest, wordt verstrekt zonder aanbeveling of goedkeuring. Apple aanvaardt geen aansprakelijkheid wat betreft de keuze, de prestaties of het gebruik van websites of producten van derden. Apple doet geen enkele toezegging met betrekking tot de juistheid of de betrouwbaarheid van websites van derden. Neem contact op met de leverancier voor meer informatie.