Política de Transparência do certificado da Apple

Saiba como estar em conformidade com a política de Transparência do certificado da Apple.

Os certificados de autenticação de servidor TLS (Transport Layer Security) publicamente fidedignos têm de cumprir a política de Transparência do certificado (CT) da Apple para poderem ser considerados como fidedignos em plataformas da Apple.

Os certificados que não estiverem em conformidade com a nossa política irão resultar numa ligação TLS falhada, o que pode partir a ligação de uma app aos serviços de Internet ou afetar a capacidade do Safari de estabelecer ligações sem problemas.

Requisitos da política

A política da Apple requer pelo menos dois SCT (Signed Certificate Timestamp) emitidos a partir de um registo de CT, uma vez aprovado¹ ou atualmente aprovado² no momento da verificação e:

Pelo menos dois SCT de registos de CT atualmente aprovados com um SCT apresentado através de uma extensão TLS ou OCSP Stapling; ou
Pelo menos um SCT integrado a partir de um registo atualmente aprovado e, pelo menos, o número de SCT de registos uma vez aprovados ou atualmente aprovados, com base no período de validade consoante indicado na tabela abaixo.

Para os certificados com um valor notBefore igual ou superior a 21 de abril de 2021 (2021-04-21T00:00:00Z), o número de SCT integrados com base na duração do certificado³:

Duração do certificado	Número de SCT de registos distintos	N.º máximo de SCT por operador de registos que conta para o requisito de SCT
180 dias ou menos	2	1
181 a 398 dias	3	2

Para os certificados com um valor notBefore inferior a 21 de abril de 2021 (2021-04-21T00:00:00Z), o Número de SCT integrados com base na duração do certificado:

Duração do certificado	Número de SCT de registos distintos
Menos de 15 meses	2
15 a 27 meses	3
27 a 39 meses	4
Mais de 39 meses	5

Para os certificados com um valor notBefore igual ou superior a 20210421T00:00:00Z, os operadores de registos PODEM rejeitar os certificados de último nível que não contenham o serverAuth EKU.

Os operadores de registos DEVEM enviar um aviso por escrito com um mínimo de 45 dias de antecedência para certificate-transparency-program@group.apple.com de quaisquer alterações ao conjunto aceite de certificados de último nível que os respetivos registos aceitam.

Registos de CT

Descarregue a lista de registos de CT atual e o esquema da lista de registos de CT no formato JSON.

Para ser considerado "uma vez aprovado", o marcador de hora no SCT tem de ter sido emitido a partir de um registo de CT com o estado "Qualificado" ou "Utilizável" no momento da emissão de SCT.

2. Para as definições do estado do registo de CT, consulte o programa de registo de Transparência do certificado da Apple: https://support.apple.com/pt-pt/HT209255

3. O período de validade (ou duração) de um certificado é definido, de acordo com o RFC 5280, Secção 4.1.2.5, como "o período de tempo entre notBefore e notAfter, inclusive".

a. Para medir o período de validade, um dia equivale a 86.400 segundos. Qualquer período superior indica um dia adicional de validade.

As informações sobre os produtos não fabricados pela Apple ou os sites independentes não controlados ou testados pela Apple são disponibilizadas sem recomendações nem aprovação. A Apple não assume qualquer responsabilidade no que diz respeito à seleção, ao desempenho ou à utilização dos sites ou produtos de terceiros. A Apple não garante a precisão nem a fiabilidade dos sites de terceiros. Contacte o fornecedor para obter mais informações.

Data de publicação: 30 de novembro de 2023