Requisitos para certificados de confiança no iOS 13 e macOS 10.15

Saiba mais acerca dos novos requisitos de segurança para certificados de servidor TLS no iOS 13 e macOS 10.15.

Todos os certificados de servidor TLS têm de cumprir estes novos requisitos de segurança no iOS 13 e macOS 10.15:

  • Os certificados de servidor TLS e autoridades de certificação emissoras que utilizam chaves RSA têm de utilizar tamanhos de chave maiores ou iguais a 2048 bits. Os certificados que utilizam tamanhos de chave RSA menores que 2048 bits já não são considerados de confiança para TLS.
  • Os certificados de servidor TLS e autoridades de certificação emissoras têm de utilizar um algoritmo hash da família SHA-2 no algoritmo de assinatura. Os certificados assinados SHA-1 já não são considerados de confiança para TLS.
  • Os certificados de servidor TLS têm de apresentar o nome DNS do servidor na extensão Nome alternativo do sujeito do certificado. Os nomes DNS no CommonName de um certificado já não são considerados de confiança.

Além disso, todos os certificados de servidor TLS emitidos após 1 de julho de 2019 (conforme indicado no campo NotBefore do certificado) têm de seguir estas diretrizes:

  • Os certificados de servidor TLS têm de conter uma extensão ExtendedKeyUsage (EKU) com o OID id-kp-serverAuth.
  • Os certificados de servidor TLS têm de ter um período de validade de 825 dias ou menos (conforme indicado nos campos NotBefore e NotAfter do certificado).

As ligações aos servidores TLS que violam estes novos requisitos irão falhar e podem causar falhas de rede e de apps e os sites podem não ser carregados no Safari no iOS 13 e macOS 10.15.

Data de publicação: