Требования к доверенным сертификатам в iOS 13 и macOS 10.15

Новые требования безопасности для сертификатов сервера TLS в iOS 13 и macOS 10.15.

Все сертификаты сервера TLS должны соответствовать следующим новым требованиям безопасности в iOS 13 и macOS 10.15.

  • Сертификаты сервера TLS и выдающие их центры сертификации, использующие ключи RSA, должны использовать ключи размером 2048 бит или более. Сертификаты, использующие ключи RSA размером менее 2048 бит, больше не считаются доверенными для сервера TLS.
  • Сертификаты сервера TLS и выдающие их центры сертификации должны использовать алгоритм хеширования из семейства SHA-2 для создания цифровой подписи. Подписанные сертификаты SHA-1 больше не являются доверенными для сервера TLS.
  • Сертификаты сервера TLS должны содержать имя сервера DNS с использованием расширения Subject Alternative Name сертификата. Имена DNS с использованием поля CommonName в сертификате больше не являются доверенными.

Кроме того, все сертификаты сервера TLS, выданные после 1 июля 2019 года (как указано в поле NotBefore в сертификате), должны отвечать следующим правилам.

  • Сертификаты сервера TLS должны включать расширение ExtendedKeyUsage (EKU), содержащее идентификатор объекта id-kp-serverAuth.
  • Срок действия сертификатов сервера TLS должен составлять 825 дней или менее (как указано в полях NotBefore и NotAfter в сертификате).

Соединения с серверами TLS, нарушающие эти новые требования, будут невозможны и могут привести к сбоям в сети, ошибкам в программах и невозможности загружать веб-сайты в браузере Safari в iOS 13 и macOS 10.15.

Дата публикации: