Zasady Apple dotyczące przejrzystości certyfikatów

Dowiedz się, jak zachować zgodność z zasadami Apple dotyczącymi przejrzystości certyfikatów.

Zaufane publicznie certyfikaty TLS uwierzytelniania serwera muszą spełniać zasady Apple dotyczące przejrzystości certyfikatów, aby zostały uznane za zaufane na platformach Apple.

Certyfikaty niespełniające naszych zasad spowodują niepowodzenie połączenia TLS, co może skutkować przerwaniem połączenia aplikacji z Internetem lub brakiem możliwości bezproblemowego łączenia się przeglądarki Safari.

Wymagania dotyczące zasad

Zasady Apple wymagają co najmniej dwóch certyfikatów SCT (Signed Certificate Timestamps) wydanych z dziennika zaufanych certyfikatów, kiedyś zatwierdzonych¹ lub zatwierdzonych² w momencie przeprowadzania sprawdzenia oraz:

co najmniej dwóch certyfikatów SCT z obecnie zatwierdzonych dzienników zaufanych certyfikatów z jednym certyfikatem SCT przedstawionym przez rozszerzenie protokołu TLS lub mechanizm OCSP Stapling; lub
co najmniej jednego wbudowanego certyfikatu SCT z obecnie zatwierdzonego dziennika i co najmniej danej liczby certyfikatów SCT z kiedyś lub obecnie zatwierdzonych dzienników, w zależności od okresu ważności przedstawionego w tabeli poniżej.

W przypadku certyfikatów z wartością notBefore większą lub równą 21 kwietnia 2021 (2021-04-21T00:00:00Z) liczba wbudowanych certyfikatów SCT w zależności od ważności certyfikatu³:

Ważność certyfikatu	Ilość certyfikatów SCT z osobnych dzienników	Maksymalna liczba certyfikatów SCT dla każdego operatora dziennika, która wlicza się do wymagania dotyczącego certyfikatów SCT
180 dni lub mniej	2	1
Od 181 do 398 dni	3	2

W przypadku certyfikatów z wartością notBefore mniejszą niż 21 kwietnia 2021 (2021-04-21T00:00:00Z) Liczba wbudowanych certyfikatów SCT w zależności od ważności certyfikatu:

Ważność certyfikatu	Ilość certyfikatów SCT z osobnych dzienników
Mniej niż 15 miesięcy	2
15 do 27 miesięcy	3
27 do 39 miesięcy	4
Więcej niż 39 miesięcy	5

W przypadku certyfikatów z wartością notBefore większą lub równą 20210421T00:00:00Z operatorzy dzienników MOGĄ odrzucić certyfikaty liścia, które nie zawierają rozszerzenia EKU obiektu serverAuth.

Operatorzy dzienników MUSZĄ dostarczyć pisemne powiadomienie z co najmniej 45-dniowym wyprzedzeniem na adres certificate-transparency-program@group.apple.com o wszelkich zmianach w zaakceptowanym zestawie certyfikatów liścia, które akceptują ich dzienniki.

Dzienniki przejrzystości certyfikatów

Pobierz bieżącą listę dzienników zaufanych certyfikatów i schemat listy dzienników zaufanych certyfikatów w formacie JSON.

1. Aby został sklasyfikowany jako „kiedyś zatwierdzony”, znacznik czasowy w certyfikacie SCT musiał zostać wydany z dziennika zaufanych certyfikatów o stanie „Zakwalifikowany” lub „Użyteczny” w momencie wydania certyfikatu SCT.

2. Definicje stanu dziennika zaufanych certyfikatów można znaleźć artykule „Program dzienników Certificate Transparency Apple”: https://support.apple.com/HT209255

3. Okres ważności certyfikatu jest zdefiniowany zgodnie z RFC 5280, sekcja 4.1.2.5, jako „okres od notBefore do notAfter, włącznie”.

a. Okres ważności mierzy się z założeniem, że dzień liczy 86 400 sekund. Dowolny czas dłuższy niż ten wskazuje dodatkowy dzień ważności.

Przedstawione informacje dotyczące produktów, które nie zostały wyprodukowane przez firmę Apple, bądź niezależnych witryn internetowych, które nie są kontrolowane ani testowane przez firmę Apple, nie mają charakteru rekomendacji. Firma Apple nie ponosi odpowiedzialności za wybór, działanie lub wykorzystanie witryn bądź produktów innych firm. Firma Apple nie składa żadnych oświadczeń dotyczących dokładności ani wiarygodności witryn internetowych innych firm. Skontaktuj się z dostawcą, aby uzyskać dodatkowe informacje.

Data publikacji: 30 listopada 2023 г.