Vereisten voor vertrouwde certificaten in iOS 13 en macOS 10.15

Lees over nieuwe beveiligingsvereisten voor TLS-servercertificaten in iOS 13 en macOS 10.15.

Alle TLS-servercertificaten moeten voldoen aan deze nieuwe beveiligingsvereisten in iOS 13 en macOS 10.15:

• TLS-servercertificaten en uitgevende CA's die RSA-sleutels gebruiken, moeten sleutelgroottes gebruiken die groter zijn dan of gelijk zijn aan 2048 bits. Certificaten die RSA-sleutelgroottes gebruiken die kleiner zijn dan 2048 bits, worden niet langer vertrouwd voor TLS.

• TLS-servercertificaten en uitgevende CA's moeten een hash-algoritme uit de SHA-2-familie gebruiken in het handtekeningsalgoritme. Certificaten ondertekend met SHA-1 worden niet langer vertrouwd voor TLS.

• TLS-servercertificaten moeten de DNS-naam van de server in de extensie 'Alternatieve naam onderwerp' van het certificaat vermelden. DNS-namen in de 'AlgemeneNaam' van een certificaat worden niet langer vertrouwd.

Bovendien moeten alle TLS-servercertificaten uitgegeven na 1 juli 2019 (zoals aangegeven in het veld 'Niet voor' van het certificaat) voldoen aan de volgende richtlijnen:

• TLS-servercertificaten moeten een uitgebreid sleutelgebruik (ExtendedKeyUsage, EKU)-extensie bevatten dat de id-kp-serverAuth OID bevat.

• TLS-servercertificaten moeten een geldigheidsduur van 825 dagen of minder hebben (zoals aangegeven in de velden 'Niet voor' en 'Niet na' van het certificaat).

Verbindingen met TLS-servers die niet voldoen aan deze nieuwe vereisten, zullen mislukken, kunnen netwerkfouten veroorzaken en kunnen ervoor zorgen dat websites niet worden geladen in Safari in iOS 13 en macOS 10.15.