Политика прозрачности сертификатов Apple
В этой статье описывается процедура соответствия политике прозрачности сертификатов Apple.
Публично доверенные сертификаты для аутентификации серверов при взаимодействии по протоколу TLS (Transport Layer Security) должны соответствовать политике прозрачности сертификатов Apple (CT) для признания их доверенными на платформах Apple.
Несоответствие сертификатов этой политике приведет к сбою TLS-соединения, что может нарушить подключение приложений к интернет-службам или способность Safari к бесперебойному подключению.
Требования политики
Политика компании Apple требует выдачи из журнала прозрачности сертификатов не менее двух меток времени подписания сертификата (Signed Certificate Timestamp, SCT), утвержденных в прошлом1 или на момент проверки1; а также:
не менее двух меток SCT из утвержденных на данный момент журналов прозрачности сертификатов, одна из которых представлена через расширение TLS или OCSP Stapling; либо
не менее одной внедренной метки SCT из утвержденного на данный момент журнала и не менее указанного в таблице ниже числа SCT из журналов, утвержденных в прошлом или на данный момент, в зависимости от срока действия.
Из журнала, отвечающего требованиям RFC 6962, должна быть выпущена как минимум одна метка SCT.
Необходимое количество внедренных меток SCT зависит от срока действия сертификата2:
Срок действия сертификата | Количество меток SCT из разных журналов | Максимальное количество SCT на одного оператора журналов, которое учитывается при проверке требования к числу SCT |
|---|---|---|
180 дней или меньше | 2 | 1 |
От 181 до 398 дней | 3 | 2 |
Журналы прозрачности сертификатов
Загрузите текущий список таких журналов и схему списка журналов в формате JSON.
Определения состояния журналов CT см. в описании программы проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple, доступной по ссылке: https://support.apple.com/103703
Срок действия (или время жизни) сертификата определяется в соответствии с RFC 5280, раздел 4.1.2.5, как «период времени от notBefore до notAfter, обе метки времени трактуются включительно».
При определении срока действия длительность суток составляет 86 400 секунд. Любой период времени, превышающий указанный, прибавляет дополнительный день действия.
Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.