Все сертификаты сервера TLS должны соответствовать следующим новым требованиям безопасности в iOS 13 и macOS 10.15.
- Сертификаты сервера TLS и выдающие их центры сертификации, использующие ключи криптосистемы RSA, должны использовать ключи размером 2048 бит или более. Сертификаты, использующие ключи RSA размером менее 2048 бит, больше не считаются доверенными для сервера TLS.
- Сертификаты сервера TLS и выдающие их центры сертификации должны использовать алгоритм хеширования из семейства SHA-2 для создания цифровой подписи. Подписанные сертификаты SHA-1 больше не являются доверенными для сервера TLS.
- Сертификаты сервера TLS должны содержать имя сервера DNS с использованием расширения Subject Alternative Name сертификата. Имена DNS с использованием поля Common Name в сертификате больше не являются доверенными.
Кроме того, все сертификаты сервера TLS, выданные после 1 июля 2019 года (как указано в поле NotBefore в сертификате), должны отвечать следующим правилам.
- Сертификаты сервера TLS должны включать расширение ExtendedKeyUsage (EKU), содержащее идентификатор объекта id-kp-serverAuth.
- Срок действия сертификатов сервера TLS должен составлять 825 дней или менее (как указано в полях NotBefore и NotAfter в сертификате).
Соединения с серверами TLS, нарушающие эти новые требования, будут невозможны и могут привести к сбоям в сети, ошибкам в программах и невозможности загружать веб-сайты в браузере Safari в ОС iOS 13 и macOS 10.15.