Certificatele de autentificare a serverelor TLS (Transport Layer Security) de încredere în mod public trebuie să respecte politica Apple privind transparența certificatelor (TC) pentru a fi considerate de încredere pe platformele Apple.
Certificatele care nu respectă politica noastră vor avea drept rezultat o conexiune TLS eșuată, care poate întrerupe conexiunea unei aplicații la serviciile de internet sau capacitatea Safari de a se conecta fără probleme.
Cerințe privind politica
Politica Apple prevede cel puțin două mărci temporale ale certificatului semnat (SCT) emise dintr-un jurnal TC – aprobate o singură dată1 aprobate2 la momentul verificării și:
- Cel puțin două SCT din jurnalele TC aprobate în prezent cu o SCT prezentată prin intermediul extensiei TLS sau OCSP Stapling; sau
- Cel puțin o SCT integrată dintr-un jurnal aprobat în prezent și cel puțin numărul de SCT din jurnalele aprobate o singură dată sau în prezent, pe baza perioadei de valabilitate detaliate în tabelul de mai jos.
Pentru certificatele cu o valoare notBefore mai mare sau egală cu 21 aprilie 2021 (2021-04-21T00:00:00Z), numărul de SCT încorporate bazate pe durata de valabilitate a certificatului3:
| Durata de valabilitate a certificatului | Nr. de SCT din jurnale separate | Nr. maxim de SCT pentru fiecare operator de jurnale luat în considerare pentru cerința SCT |
|---|---|---|
| Maximum 180 de zile | 2 | 1 |
| Între 181 și 398 de zile | 3 | 2 |
Pentru certificatele cu o valoare notBefore mai mică de 21 aprilie 2021 (2021-04-21T00:00: 00Z), numărul de SCT încorporate bazate pe durata de valabilitate a certificatului:
| Durata de valabilitate a certificatului | Nr. de SCT din jurnale separate |
|---|---|
| Mai puțin de 15 luni | 2 |
| între 15 și 27 de luni | 3 |
| între 27 și 39 de luni | 4 |
| Mai mult de 39 de luni | 5 |
Pentru certificatele cu o valoare notBefore egală sau mai mare decât 20210421T00:00:00Z, operatorii de jurnale POT respinge certificatele leaf care nu conțin un EKU serverAuth.
Operatorii de jurnale TREBUIE să furnizeze o notificare prealabilă emisă cu minimum 45 de zile în avans către certificate-transparency- program@group.apple.com pentru orice modificare adusă setului acceptat de certificate leaf pe care le acceptă jurnalele lor.
Jurnale TC
Descarcă lista curentă de jurnale TC și schema listei de jurnale TC în format JSON.
1. Pentru a fi considerată „aprobată o singură dată”, marca temporală din SCT trebuie să fi fost emisă dintr-un jurnal TC cu starea „Calificat” sau „Utilziabil” în momentul emiterii SCT.
2. Pentru definițiile stării jurnalului TC, consultă pogramul privind transparența certificatelor Apple: https://support.apple.com/ro-ro/HT209255
3. Perioada de validitate a certificatului este definită în conformitate cu RFC 5280, secțiunea 4.1.2.5, ca „perioada de timp de la notBefore până la notAfter, inclusiv”.
a. Pentru perioada de validitate, o zi este considerată cu 86.400 de secunde. Orice timp superior acestuia indică o zi suplimentară de validitate.