Politica Apple privind transparența certificatelor

Află mai multe despre conformitatea cu politica Apple privind transparența certificatelor.

Certificatele de autentificare a serverelor TLS (Transport Layer Security) de încredere în mod public trebuie să respecte politica Apple privind transparența certificatelor (TC) pentru a fi considerate de încredere pe platformele Apple.

Certificatele care nu respectă politica noastră vor avea drept rezultat o conexiune TLS eșuată, care poate întrerupe conexiunea unei aplicații la serviciile de internet sau capacitatea Safari de a se conecta fără probleme.

Cerințe privind politica

Politica Apple prevede cel puțin două mărci temporale ale certificatului semnat (SCT) emise dintr-un jurnal TC – aprobate o singură dată122 la momentul verificării și:

  • Cel puțin două SCT din jurnalele TC aprobate în prezent cu o SCT prezentată prin intermediul extensiei TLS sau OCSP Stapling; sau

  • Cel puțin o SCT integrată dintr-un jurnal aprobat în prezent și cel puțin numărul de SCT din jurnalele aprobate o singură dată sau în prezent, pe baza perioadei de valabilitate detaliate în tabelul de mai jos.

Pentru certificatele cu o valoare notBefore mai mare sau egală cu 21 aprilie 2021 (2021-04-21T00:00:00Z), numărul de SCT încorporate bazate pe durata de valabilitate a certificatului3:

Durata de valabilitate a certificatului

Nr. de SCT din jurnale separate

Nr. maxim de SCT pentru fiecare operator de jurnale luat în considerare pentru cerința SCT

Maximum 180 de zile

2

1

Între 181 și 398 de zile

3

2

Pentru certificatele cu o valoare notBefore mai mică de 21 aprilie 2021 (2021-04-21T00:00: 00Z), numărul de SCT încorporate bazate pe durata de valabilitate a certificatului:

Durata de valabilitate a certificatului

Nr. de SCT din jurnale separate

Mai puțin de 15 luni

2

între 15 și 27 de luni

3

între 27 și 39 de luni

4

Mai mult de 39 de luni

5

Pentru certificatele cu o valoare notBefore egală sau mai mare decât 20210421T00:00:00Z, operatorii de jurnale POT respinge certificatele leaf care nu conțin un EKU serverAuth.

Operatorii de jurnale TREBUIE să furnizeze o notificare prealabilă emisă cu minimum 45 de zile în avans către program@group.apple.com pentru orice modificare adusă setului acceptat de certificate leaf pe care le acceptă jurnalele lor.

Jurnale TC

Descarcă lista curentă de jurnale TC și CT Log list schemaCT Log list schema

1. Pentru a fi considerată „aprobată o singură dată”, marca temporală din SCT trebuie să fi fost emisă dintr-un jurnal TC cu starea „Calificat” sau „Utilziabil” în momentul emiterii SCT.
2. Pentru definițiile stării jurnalului TC, consultă pogramul privind transparența certificatelor Apple: https://support.apple.com/HT209255
3. Perioada de validitate a certificatului este definită în conformitate cu RFC 5280, secțiunea 4.1.2.5, ca „perioada de timp de la notBefore până la notAfter, inclusiv”.
a. Pentru perioada de validitate, o zi este considerată cu 86.400 de secunde. Orice timp superior acestuia indică o zi suplimentară de validitate.

Informațiile despre produsele care nu sunt fabricate de Apple sau despre site-urile web independente care nu sunt controlate sau testate de Apple sunt furnizate fără recomandare sau aprobare. Apple nu își asumă nicio responsabilitate în ceea ce privește selectarea, funcționarea sau utilizarea site-urilor web sau produselor de la terți. Apple nu face niciun fel de declarații privind acuratețea sau fiabilitatea site-urilor web terțe. Contactează furnizorul acestor produse pentru a obține mai multe informații.

Data publicării: