Požiadavky na serverové certifikáty TLS v systémoch iOS 13 a macOS 10.15

Prečítajte si o nových bezpečnostných požiadavkách na serverové certifikáty TLS v systémoch iOS 13 a macOS 10.15.

Všetky serverové certifikáty TLS musia v systémoch iOS 13 a macOS 10.15 spĺňať tieto nové bezpečnostné požiadavky:

• Pri serverových certifikátoch TLS a vydávaní certifikačných autorít pomocou kľúčov RSA sa musia používať kľúče s veľkosťou minimálne 2 048 bitov. Certifikáty s veľkosťou kľúčov RSA menšou ako 2 048 bitov už pre TLS nie sú dôveryhodné.

• Pri serverových certifikátoch TLS a vydávaní certifikačných autorít pomocou kľúčov RSA sa v podpisovom algoritme musí používať algoritmus hash z rodiny SHA-2. Certifikáty podpísané algoritmami SHA-1 už pre TLS nie sú dôveryhodné.

• Serverové certifikáty TLS musia v rozšírení certifikátu Alternatívne meno subjektu predložiť názov DNS servera. Názvy DNS v poli certifikátu CommonName už nie sú dôveryhodné.

Všetky serverové certifikáty TLS vydané po 1. júli 2019 (informácia uvedená v poli certifikátu NotBefore) okrem toho musia spĺňať tieto pravidlá:

• Serverové certifikáty TLS musia obsahovať rozšírenie ExtendedKeyUsage (EKU) obsahujúce identifikátor OID id-kp-serverAuth.

• Serverové certifikáty TLS smú byť platné maximálne 825 dní (informácia uvedená v poliach certifikátu NotBefore a NotAfter).

Pripojenia k serverom TLS, ktoré tieto nové požiadavky nespĺňajú, zlyhajú a môžu spôsobiť aj zlyhanie siete či aplikácií a takisto neúspešné načítavanie webových stránok v prehliadači Safari v systémoch iOS 13 a macOS 10.15.