Cerințe pentru certificate de încredere în iOS 13 și macOS 10.15

Află mai multe despre noile cerințe privind securitatea pentru certificatele de server TLS în iOS 13 și macOS 10.15.

Toate certificatele de server TLS trebuie să se conformeze acestor noi cerințe de securitate în iOS 13 și macOS 10.15:

• La certificatele de server TLS și la emiterea de CA care utilizează chei RSA trebuie să se folosească dimensiuni de cheie mai mari decât sau egale cu 2048 de biți. Certificatele care utilizează dimensiuni de cheie RSA mai mici decât 2048 de biți nu mai sunt considerate de încredere pentru TLS.

• La certificatele de server TLS și la emiterea de CA trebuie să se utilizeze un algoritm hash din familia SHA-2 în algoritmul de semnătură. Certificatele semnate SHA-1 nu mai sunt considerate de încredere pentru TLS.

• Certificatele de server TLS trebuie să prezinte numele DNS al serverului în extensia Nume alternativ subiect a certificatului. Numele DNS din CommonName al unui certificat nu mai sunt considerate de încredere.

În plus, toate certificatele de server TLS eliberate după 1 iulie 2019 (cum este indicat în câmpul NotBefore din certificat) trebuie să respecte următoarele instrucțiuni:

• Certificatele de server TLS trebuie să conțină o extensie ExtendedKeyUsage (EKU) care să conțină OID-ul id-kp-serverAuth.

• Certificatele de server TLS trebuie să aibă o perioadă de valabilitate de cel mult 825 de zile (cum se arată în câmpurile NotBefore și NotAfter din certificat).

Conexiunile la serverele TLS care încalcă aceste cerințe noi vor eșua și pot cauza erori de rețea, căderi de aplicații și site-uri web care nu se încarcă în Safari în iOS 13 și macOS 10.15.