Vereisten voor vertrouwde certificaten in iOS 13 en macOS 10.15

Lees over nieuwe beveiligingsvereisten voor TLS-servercertificaten in iOS 13 en macOS 10.15.

Alle TLS-servercertificaten moeten voldoen aan deze nieuwe beveiligingsvereisten in iOS 13 en macOS 10.15:

  • TLS-servercertificaten en uitgevende CA's die RSA-sleutels gebruiken, moeten sleutelgroottes gebruiken die groter zijn dan of gelijk zijn aan 2048 bits. Certificaten die RSA-sleutelgroottes gebruiken die kleiner zijn dan 2048 bits, worden niet langer vertrouwd voor TLS.
  • TLS-servercertificaten en uitgevende CA's moeten een hash-algoritme uit de SHA-2-familie gebruiken in het handtekeningsalgoritme. Certificaten ondertekend met SHA-1 worden niet langer vertrouwd voor TLS.
  • TLS-servercertificaten moeten de DNS-naam van de server in de extensie 'Alternatieve naam onderwerp' van het certificaat vermelden. DNS-namen in de normale naam van een certificaat worden niet langer vertrouwd.

Bovendien moeten alle TLS-servercertificaten uitgegeven na 1 juli 2019 (zoals aangegeven in het veld 'Niet voor' van het certificaat) voldoen aan de volgende richtlijnen:

  • TLS-servercertificaten moeten een uitgebreid sleutelgebruik (ExtendedKeyUsage, EKU)-extensie bevatten dat de id-kp-serverAuth OID bevat.
  • TLS-servercertificaten moeten een geldigheidsduur van 825 dagen of minder hebben (zoals aangegeven in de velden 'Niet voor' en 'Niet na' van het certificaat).

Verbindingen met TLS-servers die niet voldoen aan deze nieuwe vereisten, zullen mislukken, kunnen netwerkfouten veroorzaken en kunnen ervoor zorgen dat websites niet worden geladen in Safari in iOS 13 en macOS 10.15.

Publicatiedatum: