Wymogi certyfikatów zaufanych w systemach iOS 13 i macOS 10.15

Dowiedz się więcej o nowych wymaganiach dotyczących zabezpieczeń dla certyfikatów serwera TLS w systemach iOS 13 i macOS 10.15.

Wszystkie certyfikaty serwerów muszą być zgodne z nowymi wymogami dotyczącymi zabezpieczeń w systemach iOS 13 i macOS 10.15:

• Certyfikaty serwera TLS i wystawiające urzędy certyfikacji korzystające z kluczy RSA muszą używać kluczy o rozmiarach równych co najmniej 2048 bitów. Certyfikaty wykorzystujące klucze mniejsze niż 2048 bitów nie będą uznawane za zaufane dla TLS.

• Certyfikaty serwera TLS i wystawiające urzędy certyfikacji muszą używać algorytmu mieszającego z rodziny SHA-2 w algorytmie podpisu. Certyfikaty podpisane algorytmem SHA-1 nie będą uznawane za zaufane dla TLS.

• Certyfikaty serwera TLS muszą przedstawiać nazwę DNS serwera w rozszerzeniu alternatywnej nazwy podmiotu certyfikatu. Nazwy DNS w nazwie pospolitej certyfikatu nie są już zaufane.

Dodatkowo wszystkie certyfikaty serwera TLS wydane po 1 lipca 2019 r. (według pola certyfikatu Nie wcześniej niż) muszą być zgodne z poniższymi wytycznymi:

• Certyfikaty serwera TLS muszą zawierać rozszerzenie ExtendedKeyUsage (EKU) zawierające OID id-kp-serverAuth.

• Certyfikaty serwera TCL muszą być ważne przez maksymalnie 825 dni (zgodnie z polami certyfikatu Nie wcześniej niż i Nie później niż).

Połączenia z serwerami TLS naruszające nowe wymogi zostaną zerwane i mogą doprowadzić do awarii sieci, awarii aplikacji oraz uniemożliwiać wczytywanie się witryn w przeglądarce Safari w systemach iOS 13 i macOS 10.15.