Requisitos para certificados confiáveis no iOS 13 e macOS 10.15

Conheça os novos requisitos de segurança para certificados de servidor TLS no iOS 13 e macOS 10.15.

Todos os certificados de servidor TLS devem estar em conformidade com esses novos requisitos de segurança no iOS 13 e macOS 10.15:

  • Certificados de servidor TLS e CAs emissoras usando chaves RSA devem usar tamanhos de chave maiores ou iguais a 2048 bits. Certificados que usam tamanhos de chave RSA menores que 2048 bits não são mais confiáveis para o TLS.
  • Certificados de servidor TLS e CAs emissoras devem usar um algoritmo hash da família SHA-2 no algoritmo de assinatura. Certificados assinados SHA-1 não são mais confiáveis para o TLS.
  • Certificados de servidor TLS devem apresentar o nome DNS do servidor na extensão Subject Alternative Name do certificado. Os nomes DNS no CommonName de um certificado são mais confiáveis.

Além disso, todos os certificados de servidor TLS emitidos após 1º de julho de 2019 (conforme indicado no campo NotBefore do certificado) devem seguir estas orientações:

  • Certificados de servidor TLS devem conter uma extensão ExtendedKeyUsage (EKU) contendo id-kp-serverAuth OID.
  • Certificados do servidor TLS devem ter um período de validade de 825 dias ou menos (conforme descrito nos campos NotBefore e NotAfter do certificado).

As conexões aos servidores TLS que violam esses novos requisitos falharão e poderão causar falhas de rede, falhas de apps e sites que não carregam no Safari no iOS 13 e macOS 10.15.

Data da publicação: