Apples retningslinjer for Certificate Transparency

Finn ut hvordan du overholder Apples retningslinjer for Certificate Transparency.

Offentlig godkjente TLS-servergodkjenningssertifikater må oppfylle Apples retningslinjer for Certificate Transparency (CT) for å bli vurdert som godkjent på Apple-plattformer.

Sertifikater som ikke overholder våre retningslinjer, fører til en mislykket TLS-tilkobling, noe som kan ødelegge en apps tilkobling til internettjenester eller Safaris mulighet til å koble til.

Retningslinjekrav

Apples retningslinjer krever minst to Signed Certificate Timestamps (SCT) utstedt fra en CT-logg – tidligere godkjent1 eller med gjeldende godkjenning2ved kontrolltidspunktet – og enten:

  • minst to SCT-er fra godkjente CT-logger med én SCT presentert via TLS-utvidelse eller OCSP Stapling, eller

  • minst én integrert SCT fra en godkjent logg og minst samme antall SCT-er fra tidligere eller nåværende godkjente logger, basert på gyldighetsperioden angitt i tabellen nedenfor

For sertifikater med en notBefore-verdi som er større enn eller lik 21. april 2021 (2021-04-21T00:00:00Z), er antallet integrerte SCT-er basert på sertifikatets levetid3:

Sertifikatets levetid

Antall SCT-er fra separate logger

Maksimalt antall SCT-er per loggoperatør som teller mot SCT-kravet

180 dager eller mindre

2

1

181 til 398 dager

3

2

For sertifikater med en notBefore-verdi som er lavere enn 21. april 2021 (2021-04-21T00:00:00Z), er antallet integrerte SCT-er basert på sertifikatets levetid:

Sertifikatets levetid

Antall SCT-er fra separate logger

Mindre enn 15 måneder

2

15 til 27 måneder

3

27 til 39 måneder

4

Mer enn 39 måneder

5

For sertifikater med en notBefore-verdi som er lik eller større enn 20210421T00:00:00Z, KAN loggoperatører avvise leaf-sertifikater som ikke inneholder serverAuth EKU.

Loggoperatører MÅ gi certificate-transparency-program@group.apple.com skriftlig varsel minst 45 dager før eventuelle endringer for det godkjente settet med leaf-sertifikater som loggen(e) deres godtar.

CT-logger

Last ned nåværende CT-loggliste og CT-logglisteskjema i JSON-format.

1. For å anses som «tidligere godkjent» må tidsstempelet i SCT-et være utstedt av en CT-logg med statusen «Kvalifisert» eller «Brukbar» på tidspunktet for SCT-utstedelsen.
2. Mer informasjon om definisjoner for CT-loggstatuser er tilgjengelig i Apples Certificate Transparency-loggprogram: https://support.apple.com/HT209255
3. Gyldighetsperioden (eller levetiden) for et sertifikat er definert i tråd med RFC 5280, avsnitt 4.1.2.5, som «the period of time from notBefore through notAfter, inclusive» (til og med tidsperioden fra ikke før til ikke etter).
a. For målinger av gyldighetsperioden anses en dag som å være lik 86 400 sekunder. Når tiden går over 86 400 sekunder, utgjør det én ekstra dag med gyldighet.

Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.

Publiseringsdato: