Политика прозрачности сертификатов Apple

В этой статье описывается процедура соответствия политике прозрачности сертификатов Apple.

Публично доверенные сертификаты для аутентификации серверов при взаимодействии по протоколу TLS (Transport Layer Security) должны соответствовать политике прозрачности сертификатов Apple (CT) для признания их доверенными на платформах Apple.

Несоответствие сертификатов этой политике приведет к сбою TLS-соединения, что может нарушить подключение приложений к интернет-службам или способность Safari к бесперебойному подключению.

Требования политики

Политика компании Apple требует выдачи из журнала прозрачности сертификатов не менее двух меток времени подписания сертификата (Signed Certificate Timestamp, SCT), утвержденных в прошлом1 или на момент проверки2; а также:

  • не менее двух меток SCT из утвержденных на данный момент журналов прозрачности сертификатов, одна из которых представлена через расширение TLS или OCSP Stapling; либо

  • не менее одной внедренной метки SCT из утвержденного на данный момент журнала и не менее указанного в таблице ниже числа SCT из журналов, утвержденных в прошлом или на данный момент, в зависимости от срока действия.

Зависимость количества внедренных SCT от срока действия сертификата3 для сертификатов со значением notBefore не менее 21 апреля 2021 г. (2021-04-21T00:00:00Z):

Срок действия сертификата

Число SCT из отдельных журналов

Максимальное количество SCT на одного оператора журналов, которое учитывается при проверке требования к числу SCT

180 дней или меньше

2

1

От 181 до 398 дней

3

2

Зависимость количества внедренных SCT от срока действия сертификата для сертификатов со значением notBefore менее 21 апреля 2021 г. (2021-04-21T00:00:00Z):

Срок действия сертификата

Число SCT из отдельных журналов

Менее 15 месяцев

2

15–27 месяцев

3

27–39 месяцев

4

Более 39 месяцев

5

Для сертификатов со значением notBefore не менее 20210421T00:00:00Z операторы журналов МОГУТ отклонять конечные сертификаты, в которых в параметре EKU отсутствует значение serverAuth.

Операторы журналов ОБЯЗАНЫ предоставлять письменное уведомление о любых изменениях в принятом наборе конечных сертификатов, отраженных в их журналах, по адресу certificate-transparency-program@group.apple.com не менее чем за 45 дней до внесения изменений.

Журналы прозрачности сертификатов

Загрузите текущий список таких журналов и схему списка журналов в формате JSON.

1. Чтобы считаться «утвержденной в прошлом», метка времени в SCT должна быть выдана из журнала CT со статусом «Утвержденный» или «Пригодный для использования» на момент выдачи SCT.
2. Определения состояния журналов CT см. в описании программы проверки журналов регистрации на предмет соответствия политике прозрачности сертификатов от компании Apple, доступной по ссылке https://support.apple.com/HT209255
3. Срок действия (или время жизни) сертификата определяется в соответствии с RFC 5280, раздел 4.1.2.5, как «период времени от notBefore до notAfter, обе метки времени трактуются включительно».
а. При определении срока действия длительность суток составляет 86 400 секунд. Любой период времени, превышающий указанный, прибавляет дополнительный день действия.

Информация о продуктах, произведенных не компанией Apple, или о независимых веб-сайтах, неподконтрольных и не тестируемых компанией Apple, не носит рекомендательного или одобрительного характера. Компания Apple не несет никакой ответственности за выбор, функциональность и использование веб-сайтов или продукции сторонних производителей. Компания Apple также не несет ответственности за точность или достоверность данных, размещенных на веб-сайтах сторонних производителей. Обратитесь к поставщику за дополнительной информацией.

Дата публикации: