Krav for godkjente sertifikater i iOS 13 og macOS 10.15

Finn ut mer om nye sikkerhetskrav for TLS-tjenersertifikater i iOS 13 og macOS 10.15.

Alle TLS-tjenersertifikater må samsvare med disse nye sikkerhetskravene i iOS 13 og macOS 10.15:

• TLS-tjenersertifikater og utsteder-CA-er som bruker RSA-nøkler, må bruke nøkkelstørrelser som er større enn eller tilsvarende 2048 biter. Sertifikater som bruker mindre RSA-nøkkelstørrelser enn 2048 biter, er ikke lenger godkjent for TLS.

• TLS-tjenersertifikater og utsteder-CA-er må bruke en hash-algoritme fra SHA-2-familien i signaturalgoritmen. SHA-1-signerte sertifikater er ikke lenger godkjente for TLS.

• TLS-tjenersertifikatene må presentere DNS-navnet til tjeneren i Alternativt navn for subjekt-utvidelsen i sertifikatet. DNS-navn i CommonName til sertifikatet er ikke lenger godkjent.

Alle TLS-tjenersertifikater som er utstedt etter 1. juli 2019 (som vist i NotBefore-feltet i sertifikatet), må også følge disse retningslinjene:

• TLS-tjenersertifikatene må inneholde en ExtendedKeyUsage (EKU)-utvidelse som inneholder id-kp-serverAuth-OID-en.

• TLS-tjenersertifikatene må ha en gyldighetsperiode på 825 dager eller mindre (som vist i NotBefore- og NotAfter-feltene i sertifikatet).

Tilkoblinger til TLS-tjenere som bryter med de nye kravene, vil mislykkes og kan føre til nettverksfeil, appfeil og at nettsteder ikke lastes inn i Safari i iOS 13 og macOS 10.15.